本文在记述一项新闻动态。随着事件发展,内容可能会更新

浅谈

在上个月,这个漏洞刚公布时就引起轩然大波,引得国内人心惶惶。各大我的世界服务器都先后关闭,我作为一个我的世界玩家,自然是很不舒服的,但是这也引起我的深思,这玩意到底是个啥东西

log4j是什么

引用自维基百科

Apache Log4j是一个基于Java日志记录工具。它是由瑞士程序员Ceki Gülcü于2001年首创的,现在则是Apache软件基金会的一个项目。 log4j是几种Java日志框架(英语:Java logging framework)之一。

漏洞

简单点说,log4j默认会读取用户输入的信息,如果用户在日志中使用了特殊的控制字符串,例如jndi远程调用,log4j会解析它的含义并执行对应的操作

简易复现

在一个包含有log4j漏洞的游戏聊天栏内发送如图所示的字符串

可以看到,游戏前端并不显示内容,但是游戏日志后端成功识别出了${java:os}和${java:vm}的含义

最恐怖的是,这个在服务器也能被实现

可以看到,在控制台发送这个字符串也能被转义,若是有玩家在聊天栏中输入特殊字符串,那么服务器也会有被入侵的可能