[我的世界]关于Java Log4j 2所导致的问题以及解决方法

介绍

Log4j 2 远程代码执行漏洞风险通告

Apache Log4j 2 被披露出存在潜在反序列化代码执行漏洞，漏洞被利用可导致服务器被入侵等危害。这正是Minecraft所采用的日志工具。

新闻报道

在12月9日晚间出现了Apache Log4j2 远程代码执行漏洞攻击代码。该漏洞利用无需特殊配置，经多方验证，Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。Apache Log4j2是一款流行的Java日志框架，建议广大交易所、钱包、DeFi项目方抓紧自查是否受漏洞影响，并尽快升级新版本。

影响版本

Apache log4j2 >= 2.0, <= 2.14.1

Minecraft 全版本所有系列服务端，除Mohist 1.18外。

所有包含 Apache log4j2 2.0-2.14.1 版本依赖库的服务端（? 至 Minecraft 1.18）

https://github.com/apache/logging-log4j2/commit/d82b47c6fae9c15fcb183170394d5f1a01ac02d3

风险

恶意人士可以通过这个漏洞对您的服务器造成卡服，崩服，提取权限等操作

有技术含量的人可以直接入侵您的机器

【具体风险本栏不做太多介绍】

修复建议 1

前往各个核心官网更新您所使用的核心，目前为止大部分核心都已经给出了修复版本

若未找到核心修复版本可以尝试修复建议2

修复建议 2

1. 禁止没有必要的业务访问外网。

2. 设置jvm参数 “-Dlog4j2.formatMsgNoLookups=true”

3. 设置“log4j2.formatMsgNoLookups=True”

4. 系统环境变量“FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS”设置为“true”

【备注】：建议您在升级前做好数据备份工作，避免出现意外漏

结语

本栏内容最早发布于九州风云[mc9z.cn]社区，完整内容请看原帖

可在社区公告进行查看