Log4J2 JNDI Exploit Fix
模组属性评比

距离显示结果还剩3票~

路过的这位少侠,你觉得这款Mod怎么样,可否愿意来评一评它呢?登录并评比
更新日志
  • 暂无日志..

历史编辑记录更多
    管理组申请

      暂无管理组..

    编辑组申请

      暂无编辑组..

    开发组申请

      暂无开发组..

    停更
    开源

    Log4J2 JNDI Exploit Fix

    0.0

    无人问津

    昨日指数: 12
    昨日平均指数: 99.910

    1.09万

    总浏览

    --

    资料填充率


    如何下载?
    • 概述

      这是一个客户端和服务器上的 Fabric 和 Forge 模组,用于修复 2021 年 12 月 10 日出现的 Apache Log4j 远程代码执行漏洞 在某些情况下可能导致游戏崩溃、停止或远程代码执行。

      如果可以,请将模组加载器更新到以下版本,而不是使用此模组

      • Fabric Loader 0.12.12+ 适用于所有 Fabric 版本;

      • Forge 1.18.1-39.0.0+ 适用于我的世界 1.18.1;

      • Forge 1.18-38.0.17+ 适用于我的世界 1.18;

      • Forge 1.17.1-37.1.1+ 适用于我的世界 1.17.1;

      • Forge 1.16.5-36.2.20+ 适用于我的世界 1.16.5;

      • Forge 1.15.2-31.2.56+ 适用于我的世界 1.15.2;

      • Forge 1.14.4-28.2.25+ 适用于我的世界 1.14.4;

      • Forge 1.13.2-25.0.222+ 适用于我的世界 1.13.2;

      • Forge 1.12.2-14.23.5.2857+ 适用于我的世界 1.12.2。

      如果您想玩以上列表中没有的,并且是 1.7 以上的 MC 版本;或者您想使用与以上模组加载器版本不兼容的模组,安装本模组是一个不错的选择。

      这个模组通过删除一个问题很大的日志内容远程查找功能来工作,否则不会使用该功能。如果任何人都可以发送恶意聊天或断开连接消息,请使用错误帧数据包或其他形式的活动,这些活动涉及生成用户控制的日志输出来利用该漏洞。由于客户端和服务器都记录日志,因此它们同样面临风险。

      我的世界官方启动器、CurseForge 启动器和 Fabric 模组加载器在他们的程序中解决了这个问题,但在撰写本文时,服务器和一些旧版本仍然存在漏洞。

      目前已修复的客户端与服务端,因此不需要该 Mod:

      • 最新原版客户端;

      • 装载了最新 Fabric 模组加载器的客户端或服务器(Fabric Loader 0.12.12+);

      • 装载了最新 Forge 1.12.2 模组加载器的客户端和服务器;

      • 1.18.1-rc3 以上的客户端和服务器;

      • 手动禁用 Log4j 的任何客户端和服务器。

      目前可能存在漏洞的服务器与客户端,因此需要该 mod:

      • 早于 1.18.1-rc3 的未禁用 Log4j 的原版服务器;

      • 过时的 Fabric 或 Forge 服务器;

      • 过时的 Fabric 或 Forge 客户端;

      • 早于 1.12.x 的 Forge 模组加载器客户端或服务器。

      以下行为与该模组不兼容

      • 使用 Forge 1.17+ 及 Java/JVM 参数 -Dlog4j2.formatMsgNoLookups=true (仅适用于 1.17+ !)

      • 使用 0.12.10+ 的 Fabric 模组加载器,因为它带有类似的修复,请使用 Fabric 模组加载器 0.12.12 而不是这个 Mod。

      即使在上述不兼容之外没有必要,使用该模组也不应该有任何危害。它在启动时执行一个小的一次性操作,以删除多余但可利用的 JNDI 查找机制。

      作者无法保证该模组一定会修复漏洞,但它在基本层面上起作用。它不会阻止利用消息遍历服务器到其他客户端。

    短评加载中..