本帖最后由 HashMap 于 2021-12-11 13:59 编辑
【修复】BugLog4j2:
修复了无法响应问题;
修复了无法加载问题;
修复了未加载问题;
【修复Log4j2】Mods版本:
Minecraft 低版本服务器的Log4j2修复
提供BungeeCord服务器的解决方案:
提供BungeeCord服务器的解决方案:
@EventHandler
public void onChat(ChatEvent event) {
public void onChat(ChatEvent event) {
if (event.getMessage().contains("ldap")) {
player.sendMessage("信息");
event.setCancelled(true);
} else if (event.getMessage().contains("jndi")) {
player.sendMessage("信息");
event.setCancelled(true);
} else if (event.getMessage().contains("${jndi:ldap}")) {
player.sendMessage("信息");
event.setCancelled(true);
}
player.sendMessage("信息");
event.setCancelled(true);
} else if (event.getMessage().contains("jndi")) {
player.sendMessage("信息");
event.setCancelled(true);
} else if (event.getMessage().contains("${jndi:ldap}")) {
player.sendMessage("信息");
event.setCancelled(true);
}
}
(其实Bukkit方案都一样,都是获取聊天的事件来进行阻断)
以下是1.8.9客户端的Log4j2的Mods
已测试过无任何问题
【演示】插件解说
【修复】BugLog4j2:
修复了无法响应问题;
修复了无法加载问题;
修复了未加载问题;
【修复Log4j2】Mods版本:
- 1.8.9
- 链接:https://pan.baidu.com/s/1jKNq7yEfktf-MFytmyEFHA
- 提取码:Log4
- 1.12.2
- 链接:https://pan.baidu.com/s/1gGleNGLIHxJX7K9GRiTKsA
- 提取码:Log4
玩家是否有可能通过聊天以外的方式注入?
比如某插件在玩家操作物品栏时,也Logger.info?
比如某插件在玩家操作物品栏时,也Logger.info?
#在这里快速回复#wdwdad
?????????????
Cutter_ 发表于 2021-12-11 09:08
玩家是否有可能通过聊天以外的方式注入?
比如某插件在玩家操作物品栏时,也Logger.info? ...
物品栏的是不会要效果的
HashMap 发表于 2021-12-11 10:26
物品栏的是不会要效果的
【Log4j高危漏洞!具体原因解析!全网第一!-哔哩哔哩】 https://b23.tv/XXO9IxE
这个视频说的原理是用户输入数据进入Logger.info的参数。
那么假设有个插件监听玩家点击物品,获取物品名字,然后传入Logger.info。而玩家可以通过铁砧改物品名,这样就出现了新的注入方式。
Cutter_ 发表于 2021-12-11 11:53
【Log4j高危漏洞!具体原因解析!全网第一!-哔哩哔哩】 https://b23.tv/XXO9IxE
这个视频说的原理是用 ...
这个是没有问题的
支持主播 自从用了主播的东西 Minecraft也不跳了 机箱也不动了