search

Luohuayu / CatServer

高性能和高兼容性的1.12.2/1.16.5/1.18.2版本Forge+Bukkit+Spigot服务端 (A high performance and high compatibility 1.12.2/1.16.5/1.18.2 version Forge+Bukkit+Spigot server)
https://catmc.org
GNU Lesser General Public License v3.0
1.98k stars 211 forks source link

[1.12.2] Log4j2漏洞 #456

Closed Starcloudsea closed 2 years ago

Starcloudsea commented 2 years ago

运行环境

Minecraft版本(1.12.2/1.16.5/1.18.2): 发现1.12.2有漏洞,1.16.5已经修复

描述这个BUG 在Log4j2 Check中搜索到了低于2.15 rc-2的版本

导致的问题 这个漏洞可能导致连接服务器的玩家和服务器中的计算机资料和安全遭到严重威胁,请Luohuayu务必重视 复现方法 第一种:运行服务端成功后关闭服务端,在libraries文件夹中会多出log4j-api-2.8.1.jar和log4j-core-2.8.1.jar 第二种:如果可以将服务端转化为客户端,则可以在游戏聊天框内输入 ${jndi:ldap://www.mcbbs.net}

如果出现短暂卡顿,则说明存在漏洞。但是有些客户端输入普通文本后也会短暂卡顿,所以应当先尝试输入普通文本测式,然后再输入漏洞测验文本 截图/视频 QQ图片20220528134253

一些信息均来自Minecraft Wiki,由反馈者改编后发表,可能并不准确 一些信息来源于https://minecraft.fandom.com/zh/wiki/%E6%95%99%E7%A8%8B/%E4%BF%AE%E5%A4%8DApache_Log4j2%E6%BC%8F%E6%B4%9E

Kotori0629 commented 2 years ago

无效? https://github.com/Luohuayu/CatServer/commit/5d66f2e11f4b105112573e72e1a4d36b982b072c

Kotori0629 commented 2 years ago

无法随意修改log4j2版本,1.12.2CatServer以通过禁用Jndi查询器解决此问题。请尝试在最新版CatServer1.12.2测试复现后再反馈问题, 如无出现此问题, 请关闭此Issues. 该Issues将在24小时后关闭

Luohuayu commented 2 years ago

最新版不存在该漏洞