202112102319(4)-Log4j2漏洞是怎么回事?大厂全部中招!我的世界纷纷关服
热门回复:
- 吐鲁斯特番:(请各位转发)各位up请注意,最近有人在使用Minecraft JAVA版(包括国服)的log4j库存在远程执行代码漏洞,请最好不要打开Java版的任何启动器并开启游戏1.7及以上版本,否则你的电脑可能会变成别人的矿机,请各位腐竹尽量关闭服务器!具体解决方法:
官方启动:MC Java education---配置---编辑---隐藏更多选项---设置jvm参数
multimc:在Java---JVM arguments输入l- -Dlog4j2. formatMsgNoLookups=true
hmcl:设置---全局游戏设置---游戏参数输入-Dlog4j2.formatMsgNoLookups=true
pcl2:在设置---游戏输入-Dlog4j2.formatMsgNoLookups=true
排查:是否引用log4j-api、log4j-core。部分可手动更新log4j2。
在修复此漏洞的服务端发布前暂时关闭服务器。
出现问题的源码段落:
https:// github.com/ apache/ logging-log4j2/ commit/ d82b47c6fae9c15fcb183170394d5f1a01ac02d3
- 五斤核桃:通用修补建议
升级到最新版本 2.15.0-rc2 :
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
临时修补建议
1. 设置JVM启动参数-Dlog4j2.formatMsgNoLookups=true。
2. 尽量使用JDK 版本大于11.0.1、8u191、7u201、6u211,需要注意的是,即使是使用了 JDK 高版本也不能完全保证安全,依然存在本地绕过的情况。
3. 限制不必要的业务访问外网。
4. 采用 rasp 对lookup的调用进行阻断。
5. 采用 waf 对请求流量中的${jndi进行拦截。
- 绝代朱恩_小小鞠:我虽然不是开发者,但我看过相关视频,稍微懂一些。
这次LOG4J2事件被攻击对象也就是正在使用任何带有JAVA的软件网页的用户,堪称H弹级别,被Apache判定为最高危险级别10级,一旦是被攻击,那么电脑就成了矿机,被黑客为所欲为。目前危险对象是2.15.0除外的LOG4J2(版本大于等于2.0的)。目前网易Minecraft大部分服务器(包括但不限于租赁服)都在停服维护,但花雨庭不管,一直没有过维护。某条文字中带有2个固定的英文字符(为了防止PC端的B友们不被攻击,这里不展示字符串),则会中招。目前我在国内所有主流平台搜集到的信息,我们工作室将继续查询其他相关信息。目前可识别以及修复的网站/软件有腾讯云、360安全卫士
- Galaxy_550W:我那天电脑内存爆满
我打开任务管理器一看
nmd,dwm(桌面窗口管理器)祖传bug[辣眼睛][doge]
- liplussss:这群搞虚拟货币的干不出一点好事,从炒显卡,到把一堆人推特号盗了宣传虚拟币。还不满足,对玩家电脑动手,只能说gnmd[辣眼睛][辣眼睛]