Совмещение %minecraftFormatting и {nolookups}

Эта хрень не работает на пейпере, пришлось из*бываться
Также после проверки через /say ${date:YYYY} оно выбило дату.
Не знаю будет ли фикс 100%, но на первый взгляд оно работает...

 

Вместо того чтобы скачать уже готовые библиотеки конечно проще искать классы в ядре а потом пытаться скормить их патчеру, да и не поможет он. Я же выше написал что на моем примере кидал измененные классы в ядро server.jar новых версий minecraft, потому что оно перекачивает mojang_1.17.1.jar и patched_1.17.1.jar, в которых лежат классы либы log4j.

 

вывело дату = не работает фикс

 

Как говорили мне - вообще ни 1 штука не должна выводиться, если фикс полный.

 

Итог попыток выудить из данного способа хоть что-то ни к чему не привёл. Paper просто перезаписывает отредаканые ядра, как я и говорил

 

Так а в чем проблема то? В бумаге уже давно фикс.

 

Ищут фикс для легаси версий (1.7-1.15), поэтому страдают

 

Так пусть перенесут фикс с новой версии не?

 

Не уметь

 

Он не блокирует дату. Вы хотя бы в теме разберитесь, прежде чем говорить что-то. На кой фиг вырезать вообще все лукапы, если уязвимость приносит только jdni? Мда.

 

Что бы не юзали игроки, что и логично. В бумаге все правильно сделали, полностью не работает.

 

Остальные никак не влияют на работу систему и полностью безопасны. Не вижу смысла в их блокировке.

 

Ну ты не видишь, другие видят. Сколько людей, столько и мнений. Проще убрать их все как сделали в бумаге.

 

Остальные могут вызывать DOS атаку, поэтому вышла версия 2.16.0 которая полностью выключает вообще эту возможность по умолчанию.
https://logging.apache.org/log4j/2.x/security.html

 

Агент, который патчит JndiLookup в момент загрузки класса: https://github.com/saharNooby/log4j-vulnerability-patcher-agent

Подключать в строку запуска спигота. Работает в том числе на paperclip (обойти трансформ он не может, насколько я могу судить)

Пруф достаточности запуска агента для митигации обоих CVE: https://logging.apache.org/log4j/2.x/security.html (смотреть пункты "Otherwise, remove the JndiLookup class from the classpath: ..." в разделе митигаций обоих CVE)

${date и прочее этот агент не фиксит, для митигации указанных CVE в этом нет необходимости.

Side-note: кто юзает кастомные лаунчеры и не имеет возможности получить последние патчи от можангов (как я), можете также подключить агент к клиенту, он также пофиксит уязвимость в клиенте.

 

Полезно!
Мне об этом патче сказали уже, я конечно всё еще сомневаюсь в нем, но юзать - юзаю.

 

Не требует ли он обновления в связи с открытием десятка новых эксплоитов?