202112102319(4)-Log4j2漏洞是怎么回事？大厂全部中招！我的世界纷纷关服

热门回复：

• 吐鲁斯特番:（请各位转发）各位up请注意，最近有人在使用Minecraft JAVA版（包括国服）的log4j库存在远程执行代码漏洞，请最好不要打开Java版的任何启动器并开启游戏1.7及以上版本，否则你的电脑可能会变成别人的矿机，请各位腐竹尽量关闭服务器！具体解决方法： 官方启动：MC Java education---配置---编辑---隐藏更多选项---设置jvm参数 multimc：在Java---JVM arguments输入l- -Dlog4j2. formatMsgNoLookups=true hmcl：设置---全局游戏设置---游戏参数输入-Dlog4j2.formatMsgNoLookups=true pcl2：在设置---游戏输入-Dlog4j2.formatMsgNoLookups=true 排查:是否引用log4j-api、log4j-core。部分可手动更新log4j2。 在修复此漏洞的服务端发布前暂时关闭服务器。 出现问题的源码段落: https:// github.com/ apache/ logging-log4j2/ commit/ d82b47c6fae9c15fcb183170394d5f1a01ac02d3
• 五斤核桃:通用修补建议 升级到最新版本 2.15.0-rc2 ： https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2 临时修补建议 1. 设置JVM启动参数-Dlog4j2.formatMsgNoLookups=true。 2. 尽量使用JDK 版本大于11.0.1、8u191、7u201、6u211，需要注意的是，即使是使用了 JDK 高版本也不能完全保证安全，依然存在本地绕过的情况。 3. 限制不必要的业务访问外网。 4. 采用 rasp 对lookup的调用进行阻断。 5. 采用 waf 对请求流量中的${jndi进行拦截。
• 绝代朱恩_小小鞠:我虽然不是开发者，但我看过相关视频，稍微懂一些。 这次LOG4J2事件被攻击对象也就是正在使用任何带有JAVA的软件网页的用户，堪称H弹级别，被Apache判定为最高危险级别10级，一旦是被攻击，那么电脑就成了矿机，被黑客为所欲为。目前危险对象是2.15.0除外的LOG4J2（版本大于等于2.0的）。目前网易Minecraft大部分服务器（包括但不限于租赁服）都在停服维护，但花雨庭不管，一直没有过维护。某条文字中带有2个固定的英文字符（为了防止PC端的B友们不被攻击，这里不展示字符串），则会中招。目前我在国内所有主流平台搜集到的信息，我们工作室将继续查询其他相关信息。目前可识别以及修复的网站/软件有腾讯云、360安全卫士
• Galaxy_550W:我那天电脑内存爆满 我打开任务管理器一看 nmd，dwm（桌面窗口管理器）祖传bug[辣眼睛][doge]
• liplussss:这群搞虚拟货币的干不出一点好事，从炒显卡，到把一堆人推特号盗了宣传虚拟币。还不满足，对玩家电脑动手，只能说gnmd[辣眼睛][辣眼睛]