Closed Starcloudsea closed 2 years ago
运行环境
Minecraft版本(1.12.2/1.16.5/1.18.2): 发现1.12.2有漏洞,1.16.5已经修复
描述这个BUG 在Log4j2 Check中搜索到了低于2.15 rc-2的版本
导致的问题 这个漏洞可能导致连接服务器的玩家和服务器中的计算机资料和安全遭到严重威胁,请Luohuayu务必重视 复现方法 第一种:运行服务端成功后关闭服务端,在libraries文件夹中会多出log4j-api-2.8.1.jar和log4j-core-2.8.1.jar 第二种:如果可以将服务端转化为客户端,则可以在游戏聊天框内输入 ${jndi:ldap://www.mcbbs.net}
${jndi:ldap://www.mcbbs.net}
如果出现短暂卡顿,则说明存在漏洞。但是有些客户端输入普通文本后也会短暂卡顿,所以应当先尝试输入普通文本测式,然后再输入漏洞测验文本 截图/视频
一些信息均来自Minecraft Wiki,由反馈者改编后发表,可能并不准确 一些信息来源于https://minecraft.fandom.com/zh/wiki/%E6%95%99%E7%A8%8B/%E4%BF%AE%E5%A4%8DApache_Log4j2%E6%BC%8F%E6%B4%9E
无效? https://github.com/Luohuayu/CatServer/commit/5d66f2e11f4b105112573e72e1a4d36b982b072c
无法随意修改log4j2版本,1.12.2CatServer以通过禁用Jndi查询器解决此问题。请尝试在最新版CatServer1.12.2测试复现后再反馈问题, 如无出现此问题, 请关闭此Issues. 该Issues将在24小时后关闭
最新版不存在该漏洞
运行环境
Minecraft版本(1.12.2/1.16.5/1.18.2): 发现1.12.2有漏洞,1.16.5已经修复
描述这个BUG 在Log4j2 Check中搜索到了低于2.15 rc-2的版本
导致的问题 这个漏洞可能导致连接服务器的玩家和服务器中的计算机资料和安全遭到严重威胁,请Luohuayu务必重视 复现方法 第一种:运行服务端成功后关闭服务端,在libraries文件夹中会多出log4j-api-2.8.1.jar和log4j-core-2.8.1.jar 第二种:如果可以将服务端转化为客户端,则可以在游戏聊天框内输入
${jndi:ldap://www.mcbbs.net}
如果出现短暂卡顿,则说明存在漏洞。但是有些客户端输入普通文本后也会短暂卡顿,所以应当先尝试输入普通文本测式,然后再输入漏洞测验文本 截图/视频
一些信息均来自Minecraft Wiki,由反馈者改编后发表,可能并不准确 一些信息来源于https://minecraft.fandom.com/zh/wiki/%E6%95%99%E7%A8%8B/%E4%BF%AE%E5%A4%8DApache_Log4j2%E6%BC%8F%E6%B4%9E