本帖最后由 Bowser 于 2021-12-11 12:44 编辑
警告: 本插件作为插件安装时只能防御服务端,玩家的客户端依然会成为攻击目标。
你需要让你的玩家 在客户端进行修复/更新forge版本至latest(针对无客户端整合包的服务器),
或将本插件jar放入客户端的mods文件夹然后推送客户端更新(针对使用客户端整合包的1.12.2forge服务器)
修复近日发现的Log4J安全漏洞。下载插件,拖入plugins文件夹,即可起到修复效果。
理论上JRE可运行,无需安装JDK。
效果图:
可以看到 jndi 字符串没有被执行,而是被正常地打印了出来。
(注:服务端核心的版本实际上是1.16.5,因为测试的时候发现没装高版本Java,于是直接拿那个文件夹装了1.16.5核心)
命令:无,权限:无,配置文件:无。
下载地址:Github 或
Fix4Log4J-1.2.3.jar
(10.43 KB, 下载次数: 817)
源代码:https://github.com/ChloePrime/fix4log4j
警告: 本插件作为插件安装时只能防御服务端,玩家的客户端依然会成为攻击目标。
你需要让你的玩家 在客户端进行修复/更新forge版本至latest(针对无客户端整合包的服务器),
或将本插件jar放入客户端的mods文件夹然后推送客户端更新(针对使用客户端整合包的1.12.2forge服务器)
修复近日发现的Log4J安全漏洞。下载插件,拖入plugins文件夹,即可起到修复效果。
理论上JRE可运行,无需安装JDK。
效果图:
可以看到 jndi 字符串没有被执行,而是被正常地打印了出来。
(注:服务端核心的版本实际上是1.16.5,因为测试的时候发现没装高版本Java,于是直接拿那个文件夹装了1.16.5核心)
命令:无,权限:无,配置文件:无。
下载地址:Github 或
Fix4Log4J-1.2.3.jar
(10.43 KB, 下载次数: 817)
源代码:https://github.com/ChloePrime/fix4log4j
本插件所用代码部分来自 Apache Common Lang3 (根据 Apache-2.0 协议开源)
谢谢大佬!!!!!
感谢大佬,话说不是大型服务器没人会有空搞吧
?
?
WDN2MD 发表于 2021-12-10 19:31
感谢大佬,话说不是大型服务器没人会有空搞吧
?
bug只要大家知道了总有玩家想去尝试的,主要能崩服
为啥没有1.7.10的呀
牛逼啊大佬,今天的BUG这么快
WDN2MD 发表于 2021-12-10 19:31
感谢大佬,话说不是大型服务器没人会有空搞吧
?
不,我这种小破服不知道咋的后台被人连的都。。东西都被翻了
WDN2MD 发表于 2021-12-10 19:31
感谢大佬,话说不是大型服务器没人会有空搞吧
?
会的,这个漏洞可以用把你的服务器 / 玩家的客户端变成矿机,非常危险。
客户端也很关键,即使服务器修复了这个bug,玩家的客户端依然会被攻击。
是否可转载插件,原帖会做相关标注并指引
本帖最后由 MossCG 于 2021-12-10 21:40 编辑
很好用 不过测试发现paperspigot-1.8.8核心会找不到类
[21:32:30 INFO]: [Fix4Log4J] Loading Fix4Log4J v1.1.4
[21:32:30 ERROR]: org/apache/logging/log4j/core/net/JndiManager initializing Fix4Log4J v1.1.4 (Is it up to date?)
java.lang.NoClassDefFoundError: org/apache/logging/log4j/core/net/JndiManager
at chloeprime.fix4log4j.Fixer.disableJndiManager0(Fixer.java:52) ~[?:?]
at chloeprime.fix4log4j.Fixer.disableJndiManager(Fixer.java:44) ~[?:?]
at chloeprime.fix4log4j.bukkit.Fix4Log4JBukkitPlugin.onLoad(Fix4Log4JBukkitPlugin.java:14) ~[?:?]
at org.bukkit.craftbukkit.v1_8_R3.CraftServer.loadPlugins(CraftServer.java:298) [PaperSpigot-1.8.8.jar:git-PaperSpigot-"4c7641d"]
at net.minecraft.server.v1_8_R3.DedicatedServer.init(DedicatedServer.java:202) [PaperSpigot-1.8.8.jar:git-PaperSpigot-"4c7641d"]
at net.minecraft.server.v1_8_R3.MinecraftServer.run(MinecraftServer.java:563) [PaperSpigot-1.8.8.jar:git-PaperSpigot-"4c7641d"]
at java.lang.Thread.run(Unknown Source) [?:1.8.0_301]
Caused by: java.lang.ClassNotFoundException: org.apache.logging.log4j.core.net.JndiManager
at java.net.URLClassLoader.findClass(Unknown Source) ~[?:1.8.0_301]
at org.bukkit.plugin.java.PluginClassLoader.findClass(PluginClassLoader.java:102) ~[PaperSpigot-1.8.8.jar:git-PaperSpigot-"4c7641d"]
at org.bukkit.plugin.java.PluginClassLoader.findClass(PluginClassLoader.java:87) ~[PaperSpigot-1.8.8.jar:git-PaperSpigot-"4c7641d"]
at java.lang.ClassLoader.loadClass(Unknown Source) ~[?:1.8.0_301]
at java.lang.ClassLoader.loadClass(Unknown Source) ~[?:1.8.0_301]
... 7 more[21:39:51 INFO]: This server is running CraftBukkit version git-PaperSpigot-"4c7641d" (MC: 1.8.8) (Implementing API version 1.8.8-R0.1-SNAPSHOT)
很好用 不过测试发现paperspigot-1.8.8核心会找不到类
[21:32:30 INFO]: [Fix4Log4J] Loading Fix4Log4J v1.1.4
[21:32:30 ERROR]: org/apache/logging/log4j/core/net/JndiManager initializing Fix4Log4J v1.1.4 (Is it up to date?)
java.lang.NoClassDefFoundError: org/apache/logging/log4j/core/net/JndiManager
at chloeprime.fix4log4j.Fixer.disableJndiManager0(Fixer.java:52) ~[?:?]
at chloeprime.fix4log4j.Fixer.disableJndiManager(Fixer.java:44) ~[?:?]
at chloeprime.fix4log4j.bukkit.Fix4Log4JBukkitPlugin.onLoad(Fix4Log4JBukkitPlugin.java:14) ~[?:?]
at org.bukkit.craftbukkit.v1_8_R3.CraftServer.loadPlugins(CraftServer.java:298) [PaperSpigot-1.8.8.jar:git-PaperSpigot-"4c7641d"]
at net.minecraft.server.v1_8_R3.DedicatedServer.init(DedicatedServer.java:202) [PaperSpigot-1.8.8.jar:git-PaperSpigot-"4c7641d"]
at net.minecraft.server.v1_8_R3.MinecraftServer.run(MinecraftServer.java:563) [PaperSpigot-1.8.8.jar:git-PaperSpigot-"4c7641d"]
at java.lang.Thread.run(Unknown Source) [?:1.8.0_301]
Caused by: java.lang.ClassNotFoundException: org.apache.logging.log4j.core.net.JndiManager
at java.net.URLClassLoader.findClass(Unknown Source) ~[?:1.8.0_301]
at org.bukkit.plugin.java.PluginClassLoader.findClass(PluginClassLoader.java:102) ~[PaperSpigot-1.8.8.jar:git-PaperSpigot-"4c7641d"]
at org.bukkit.plugin.java.PluginClassLoader.findClass(PluginClassLoader.java:87) ~[PaperSpigot-1.8.8.jar:git-PaperSpigot-"4c7641d"]
at java.lang.ClassLoader.loadClass(Unknown Source) ~[?:1.8.0_301]
at java.lang.ClassLoader.loadClass(Unknown Source) ~[?:1.8.0_301]
... 7 more[21:39:51 INFO]: This server is running CraftBukkit version git-PaperSpigot-"4c7641d" (MC: 1.8.8) (Implementing API version 1.8.8-R0.1-SNAPSHOT)
大佬 paper1.17的服务端可以用吗
找到修复了,感谢楼主
所以没有17以上版本吗
隔壁老帅比 发表于 2021-12-10 23:12
所以没有17以上版本吗
1.17 以上使用了 Java16,这个版本的 Java 大概会使这个插件无法工作 0.0
不过 1.17 相对比较新,等各个核心的官方更新吧
Bowser 发表于 2021-12-10 23:17
1.17 以上使用了 Java16,这个版本的 Java 大概会使这个插件无法工作 0.0
不过 1.17 相对比较新,等各个 ...
我还是没搞懂黑客是怎么用这个漏洞是怎么工作的
MCBBS有你更精彩~
万分感谢!!!paper官方好像已经发布最新构建了,据说已经修复了这个漏洞。我想问问大佬写的插件原理,我在使用最新服务端时能否为了保险起见使用您的插件呢,会不会有冲突或者导致其他一些可能的情况呢qwq(服务端1.16.5)