Minecraft(我的世界)中文论坛

 找回密码
 注册(register)

!header_login!

只需一步,立刻登录

查看: 61914|回复: 217

[服务器应用] [2021.12.19] Log4j 0day CVE 漏洞警示及修复指南

    [复制链接]
贺兰兰 当前离线
积分
12286
帖子
主题
精华
贡献
爱心
钻石
人气
下界之星
最后登录
1970-1-1
注册时间
2014-1-18
查看详细资料
发表于 2021-12-10 00:37:49 | 显示全部楼层 |阅读模式

您尚未登录,立即登录享受更好的浏览体验!

您需要 登录 才可以下载或查看,没有帐号?注册(register)

x
本帖最后由 贺兰兰 于 2021-12-19 21:52 编辑

(2021.12.19)我们收到了有关 CVE-2021-45105 的漏洞警示,建议您升级 Log4j2 版本至 2.17.0 及以上以规避此风险。对于主要的受支持服务端,请关注其通知界面以确保新的漏洞已被修复


(2021.12.17)我们收到了有关 CVE-2021-45046 的漏洞警示,原 Log4j2 CVE-2021-44228 漏洞补丁仍有被绕过的风险,建议您升级 Log4j2 版本至 2.16.0 及以上以规避此风险。对于主要的受支持服务端,请关注其通知界面以确保新的漏洞已被修复


影响范围


所有包含 Apache log4j2 2.0-2.16.0 版本依赖库的服务端(Minecraft 1.7.X 至 Minecraft 1.18.X)
BungeeCord 不受影响,因为 BungeeCord 不使用 log4j,但其下游 Waterfall 受到影响,因为 Waterfall 引入了 log4j
https://github.com/apache/logging-log4j2/commit/d82b47c6fae9c15fcb183170394d5f1a01ac02d3


可能的攻击方式



  • 任何可能导致服务端 Logger 记录指定关键词的行为,包括在不进入服务器进行任何操作的情况下使用包含关键词游戏 ID 对服务器进行握手


可以导致的后果



  • 远程代码执行


来自官方的漏洞修复建议


对于所有受到影响的 Vanilla 服务端


请遵照 Mojang 提供的漏洞修复建议修复漏洞: https://www.mcbbs.net/thread-1283360-1-1.html


对于其他受到影响的服务端


请检下方“服务端核心修复跟踪”部分是否已包含您所使用服务端核心的修补声明,如果包含,请遵照这些服务端核心的要求升级至最新的构建版本;如果未包含,则请依照文末的临时修复方案修补您的服务端核心


服务端核心修复跟踪



临时修复方案



手把手教你修漏洞™(仅限官方尚未发布修复时的情况)


对于 1.18+ 的所有服务端(Vanilla,Spigot,Paper等)


有校验,不好改,等修复(有兴趣的话可以前往服务端核心中的 META-INF/libraries.list 文件,修改 log4j 相关的三个 jar 路径及其 SHA256 签名,然后将新的 jar 导入 libraries 文件的指定目录)


对于 1.18- 的 非 Paper(及其下游) 服务端


使用压缩软件打开服务端核心和log4j-core,删除前者 org\apache\logging\log4j\core 文件夹,将后者同样路径中的 core 文件夹替换进去;然后删除org\apache\logging\log4j下的其他文件,将 log4j-api 中同名目录的所有文件替换进去即可


对于 1.18- 的 Paper(及其下游) 服务端


使用压缩软件打开 .\cache\patched_X.X.X.jar 和log4j-core,删除前者 org\apache\logging\log4j\core 文件夹,将后者同样路径中的 core 文件夹替换进去;然后删除org\apache\logging\log4j下的其他文件,将 log4j-api 中同名目录的所有文件替换进去;然后修改开服脚本,将服务端 jar 指向 .\cache\patched_X.X.X.jar 而非原来的 paperclip jar


更新



  • 12.10 10:45 log4j2 版本 2.15.0-rc1 对该漏洞的修复存在被绕过的可能,请更换至 log4j2 版本 2.15.0-rc2

  • 12.10 11:04 更新 Arclight 服务端漏洞修复跟踪

  • 12.10 19:50 更新 Forge 漏洞修复跟踪

  • 12.11 00:52 新增 “来自官方的漏洞修复建议”

  • 12.11 00:59 更新 Fabric 漏洞修复跟踪

  • 12.17 18:03 我们收到了有关 CVE-2021-45046 的漏洞警示,原 Log4j2 CVE-2021-44228 漏洞补丁仍有被绕过的风险,建议您升级 Log4j2 版本至 2.16.0 及以上以规避此风险。对于主要的受支持服务端,请关注其通知界面以确保新的漏洞已被修复


来自群组: Server CT

评分

参与人数 56人气 +91 金粒 +528 贡献 +6 收起 理由
ddvcvwfsdfgw + 1 MCBBS有你更精彩~
18780262934 + 1 + 6 Ssssssssssssssssssss
Lokls + 1 Ssssssssssssssssssss
六月奈 + 1 MCBBS有你更精彩~
DyHui + 2 MCBBS有你更精彩~
Illusory_River + 2 Ssssssssssssssssssss
粉雀 + 1 踹您上去得嘞
雨洛RainStorm + 2 上去吧您嘞
我是牛一号 + 2 + 40 MCBBS有你更精彩~
AzureZeng + 2 + 20 Java后端开发者跑过来抄配置
2503180246b + 1 + 5 MCBBS有你更精彩~
妖梦的舔狗 + 5 + 50 + 2 MCBBS有你更精彩~
-xiao_kai- + 1 + 12 MCBBS有你更精彩~
苦力怕553 + 2 MCBBS有你更精彩~
stevezhang_1201 + 1 + 15 高呼666!
RarityEG + 2 + 5 很难想到会是 Log4j……
wasd97229374 + 1 + 5 MCBBS有你更精彩~
dengyu + 3 + 25 MCBBS有你更精彩~
1378495772 + 1 CVE-2021-44228
ok135798 + 2 顶上去,让所有人看见

查看全部评分

jiongjionger 当前离线
积分
11330
帖子
主题
精华
贡献
爱心
钻石
人气
下界之星
最后登录
1970-1-1
注册时间
2014-2-7
查看详细资料
发表于 2021-12-10 01:32:51 | 显示全部楼层
本帖最后由 jiongjionger 于 2021-12-12 22:01 编辑

服务端启动脚本添加:-Dlog4j2.formatMsgNoLookups=true,即可。可以置顶下回复
(如果您服务端核心打包的log4j2版本低于2.10.x,该参数无法修复这个问题)

如果您无法替换服务端核心,或者您需要避免玩家客户端被人恶意利用这个Bug产生不良后果,可以安装此服务端插件:
https://www.mcbbs.net/thread-1283269-1-1.html

评分

参与人数 22人气 +38 金粒 +107 收起 理由
DyHui + 2 MCBBS有你更精彩~
Building_block + 1 MCBBS有你更精彩~
xiao·tian + 1 MCBBS有你更精彩~
ldwwdsj + 1 + 6 MCBBS有你更精彩~
xpe_online + 2 + 30 一下就好了!
华南。 + 2 + 50 MCBBS有你更精彩~
豆沙包的mc + 2 + 10 牛的,这不就直接解决了吗?必须给个人气.
Rothes + 2 Ssssssssssssssssssss
AzureHanChen + 2 MCBBS有你更精彩~
DreamVoid + 2 MCBBS有你更精彩~
G0D_ + 1 + 5 还得是你啊
situfangjian + 1 MCBBS有你更精彩~
MCkeletu + 1 十分牛逼,力赞
Heathens + 2 MCBBS有你更精彩~
wshycaa + 2 MCBBS有你更精彩~
白灯 + 2 MCBBS有你更精彩~
蟹蒙老鸽 + 2 大佬流弊
霜天舞冰 + 2 高呼666!
TC_mao + 2 MCBBS有你更精彩~
花茶scented + 1 感谢囧大和腾讯云)

查看全部评分

回复

使用道具 举报

霜天舞冰 当前离线
积分
1726
帖子
主题
精华
贡献
爱心
钻石
人气
下界之星
最后登录
1970-1-1
注册时间
2021-3-11
查看详细资料
发表于 2021-12-10 00:41:22 | 显示全部楼层
本帖最后由 霜天舞冰 于 2021-12-10 01:42 编辑

好快,这玩意能发现也是厉害





回复

使用道具 举报

MintManatee 当前离线
积分
490
帖子
主题
精华
贡献
爱心
钻石
人气
下界之星
最后登录
1970-1-1
注册时间
2021-11-9
查看详细资料
发表于 2021-12-10 00:42:20 | 显示全部楼层
啥意思 啊在哪里替换
回复

使用道具 举报

霜天舞冰 当前离线
积分
1726
帖子
主题
精华
贡献
爱心
钻石
人气
下界之星
最后登录
1970-1-1
注册时间
2021-3-11
查看详细资料
发表于 2021-12-10 00:53:46 | 显示全部楼层
MintManatee 发表于 2021-12-10 00:42
啥意思 啊在哪里替换

libraries\org\apache\logging\log4j\log4j-core
回复

使用道具 举报

GodLion 当前离线
积分
6096
帖子
主题
精华
贡献
爱心
钻石
人气
下界之星
最后登录
1970-1-1
注册时间
2015-3-26
查看详细资料
发表于 2021-12-10 00:55:52 | 显示全部楼层
神速,这就去关端口
回复

使用道具 举报

zxcsqq 当前离线
积分
3952
帖子
主题
精华
贡献
爱心
钻石
人气
下界之星
最后登录
1970-1-1
注册时间
2014-4-19
查看详细资料
发表于 2021-12-10 01:00:39 | 显示全部楼层
本帖最后由 zxcsqq 于 2021-12-10 01:02 编辑

KCauldron端 没有 libraries 如何修复呢?
回复

使用道具 举报

隔壁老帅比 当前离线
积分
583
帖子
主题
精华
贡献
爱心
钻石
人气
下界之星
最后登录
1970-1-1
注册时间
2021-6-18
查看详细资料
发表于 2021-12-10 01:03:51 来自手机 | 显示全部楼层
em.....什么意思,手机看不到图片啥的
回复

使用道具 举报

苏雅人 当前离线
积分
9348
帖子
主题
精华
贡献
爱心
钻石
人气
下界之星
最后登录
1970-1-1
注册时间
2013-2-12
查看详细资料
发表于 2021-12-10 01:05:12 | 显示全部楼层
问个问题,bungeecord核心需要更新吗?
回复

使用道具 举报

苏雅人 当前离线
积分
9348
帖子
主题
精华
贡献
爱心
钻石
人气
下界之星
最后登录
1970-1-1
注册时间
2013-2-12
查看详细资料
发表于 2021-12-10 01:06:14 | 显示全部楼层
bungeecord也是调用的log4j

评分

参与人数 1人气 -1 金粒 -20 收起 理由
贺兰兰 -1 -20 请不要灌水!

查看全部评分

回复

使用道具 举报

3156450635 当前离线
积分
897
帖子
主题
精华
贡献
爱心
钻石
人气
下界之星
最后登录
1970-1-1
注册时间
2017-10-17
查看详细资料
发表于 2021-12-10 01:09:02 | 显示全部楼层
谢谢大佬
回复

使用道具 举报

DreamVoid 当前离线
积分
6519
帖子
主题
精华
贡献
爱心
钻石
人气
下界之星
最后登录
1970-1-1
注册时间
2020-1-30
查看详细资料
发表于 2021-12-10 01:13:25 | 显示全部楼层
发这么快
两个端口我听都没听过,更没有用过,也没有安全组策略,应该可以高枕无忧吧
回复

使用道具 举报

Bug520 当前离线
积分
2546
帖子
主题
精华
贡献
爱心
钻石
人气
下界之星
最后登录
1970-1-1
注册时间
2018-7-5
查看详细资料
发表于 2021-12-10 01:14:59 | 显示全部楼层
将服务端核心直接指向 patched_X.X.X.jar 文件,而非原本的 paper-X.X.X-XXX.jar

这个不懂啊
回复

使用道具 举报

花茶scented 当前离线
积分
892
帖子
主题
精华
贡献
爱心
钻石
人气
下界之星
最后登录
1970-1-1
注册时间
2015-12-13
查看详细资料
发表于 2021-12-10 01:15:41 | 显示全部楼层
有能力处理的可以按照这上面说的来自行处理
catserver已经在今晚连夜更新了修复版
如果是小白,那等着大佬修复就好了(躺平
回复

使用道具 举报

MintManatee 当前离线
积分
490
帖子
主题
精华
贡献
爱心
钻石
人气
下界之星
最后登录
1970-1-1
注册时间
2021-11-9
查看详细资料
发表于 2021-12-10 01:18:37 | 显示全部楼层
霜天舞冰 发表于 2021-12-10 00:53
libraries\org\apache\logging\log4j\log4j-core

不是,是在服务端里,还是在核心里,我一小白有点懵
回复

使用道具 举报

simon3000 当前离线
积分
10959
帖子
主题
精华
贡献
爱心
钻石
人气
下界之星
最后登录
1970-1-1
注册时间
2012-12-30
查看详细资料
发表于 2021-12-10 01:21:11 | 显示全部楼层
本帖最后由 simon3000 于 2021-12-11 23:43 编辑

好像还没有CVE编号,过几天可能就有了(

CVE-2021-44228


另一个似乎相对快速的修复方法:
删除jar里面的org/apache/logging/og4j/core/lookup/Jndilookup.class


来自afdian@mouse

评分

参与人数 1人气 +1 收起 理由
Arobcher + 1 赞一个~

查看全部评分

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册(register)

本版积分规则

Archiver|小黑屋|Mcbbs.net ( 京ICP备15023768号-1 ) | 京公网安备 11010502037624号 | 手机版

GMT+8, 2022-1-19 19:33 , Processed in 0.078494 second(s), Total 28, Slave 27 queries, Release: Build.2021.11.26 1022, Gzip On, Redis On.

"Minecraft"以及"我的世界"为Mojang Synergies AB的商标 本站与Mojang以及微软公司没有从属关系

© 2010-2020 我的世界中文论坛 版权所有 本站原创图文内容版权属于原创作者,未经许可不得转载

快速回复 返回顶部 返回列表