Log4J2 JNDI Exploit Fix
模组属性评比

距离显示结果还剩5票~

路过的这位少侠,你觉得这款Mod怎么样,可否愿意来评一评它呢?登录并评比
更新日志
  • 暂无日志..

历史编辑记录更多
    管理组申请

      暂无管理组..

    编辑组申请

      暂无编辑组..

    开发组申请

      暂无开发组..

    最近参与编辑
    活跃
    开源

    Log4J2 JNDI Exploit Fix

    0.0

    无人问津

    昨日指数: 31
    昨日平均指数: 152.453

    1757

    总浏览

    --

    资料填充率


    如何下载?
    • 这是一个客户端和服务器上的Fabric 和 Forge 模组,用于修复 2021 年 12 月 10 日出现的 Log4J2 漏洞在某些情况下可能导致游戏崩溃、停止或远程代码执行。

      如果可以,请将模组加载器更新到以下版本,而不是使用此模组

      - Fabric Loader 0.12.12+ 适用于所有版本

      - Forge 1.18.1-39.0.0+            适用于我的世界1.18.1

      - Forge 1.18-38.0.17+             适用于我的世界1.18

      - Forge 1.17.1-37.1.1+              适用于我的世界1.17.1

      - Forge 1.16.5-36.2.20+          适用于我的世界1.16.5

      - Forge 1.15.2-31.2.56+           适用于我的世界1.15.2

      - Forge 1.14.4-28.2.25+          适用于我的世界1.14.4

      - Forge 1.13.2-25.0.222+        适用于我的世界1.13.2

      - Forge 1.12.2-14.23.5.2857+   适用于我的世界1.12.2

      如果您想玩以上列表中没有的并且是1.7以上的我的世界版本,或者您想使用与以上模组加载器版本不兼容的模组,安装本模组是一个不错的选择。

      这个模组通过删除一个问题很大的日志内容远程查找功能来工作,否则不会使用该功能。如果任何人都可以发送恶意聊天或断开连接消息,请使用错误帧数据包或其他形式的活动,这些活动涉及生成用户控制的日志输出来利用该漏洞。由于客户端和服务器都记录日志,因此它们同样面临风险。

      我的世界官方启动器、CurseForge启动器和Fabric模组加载器在他们的程序中解决了这个问题,但在撰写本文时,服务器和一些旧版本仍然存在漏洞。

      目前已修复的客户端与服务端,因此不需要该 mod:

      - 原版客户端

      - 装载了Fabric模组加载器的客户端或服务器(Fabric Loader 0.12.12+)

      - 装载了Forge 1.12+模组加载器客户端和服务器

      - 1.18.1-rc3以上的客户端和服务器

      - 手动禁用Log4j任何客户端和服务器

      目前可能存在漏洞的服务器与客户端,因此需要该 mod:

      - 早于 1.18.1-rc3 的未禁用Log4j的原版服务器

      - 过时的 Fabric 或 Forge 服务器

      - 过时的 Fabric 或 Forge 客户端

      - 早于 1.12.x的Forge模组加载器客户端或服务器

       与该模组不兼容

      - 使用 Java/JVM 参数 -Dlog4j2.formatMsgNoLookups=true (仅适用于 1.17+ !)

      - 使用0.12.10+ 的 Fabric模组加载器,因为它带有类似的修复,请使用 Fabric 模组加载器 0.12.12 而不是这个 mod

      即使在上述不兼容之外没有必要,使用该模组也不应该有任何危害。它在启动时执行一个小的一次性操作,以删除多余但可利用的 JNDI 查找机制。

      作者无法保证该模组一定会修复漏洞,但它在基本层面上起作用。它不会阻止利用消息遍历服务器到其他客户端。

    短评加载中..