Крутой log4j Exploit фикс

[kekaVAC]

Всем привет. Искал себе мега крутой фикс, но ничего не нашел. Думаю много людей которые ищут, но не хотят никуда лезть, чот менять и прочее да. Поэтому ловите в общий доступ мега-крутой фикс этого эксплоита .

Сорцов не будет, плагин не накрыт кто хочет разберет, можете засрать, но такое должно быть в паблике.

log4fix-plugin.jar

View and download from Yandex.Disk

disk.yandex.com

 

[necauqua]

мега-крутой

Сорцов не будет

Сейчас бы ставить секьюрити патчи без сорцов

кто хочет разберет

Или от того кому лень запушить на гитхаб

ничего не нашел

quick google:

GitHub - corretto/hotpatch-for-apache-log4j2: An agent to hotpatch the log4j RCE from CVE-2021-44228.

An agent to hotpatch the log4j RCE from CVE-2021-44228. - corretto/hotpatch-for-apache-log4j2

github.com

GitHub - nccgroup/log4j-jndi-be-gone: A Byte Buddy Java agent-based fix for CVE-2021-44228, the log4j 2.x "JNDI LDAP" vulnerability.

A Byte Buddy Java agent-based fix for CVE-2021-44228, the log4j 2.x "JNDI LDAP" vulnerability. - nccgroup/log4j-jndi-be-gone

github.com

И самый прикольный: GitHub - Cybereason/Logout4Shell: Use Log4Shell vulnerability to vaccinate a victim server against Log4Shell
Ещё самый ручной: обновить log4j/forge/fabric/minecraft

Агентов и прочих фиксов понаписали все кому не лень

 

[kekaVAC]

Сейчас бы ставить секьюрити патчи без сорцов

епт, там настолько гениально и просто, что пушечка

 

[TheAndrey]

Мусор это, а не фикс. Кроме чата полно других мест, откуда пользовательский ввод может уйти в лог.
Пропатчить библиотеку - самый надёжный вариант. Такие проблемы надо исправлять на корню. Будто архиватором свой core.jar сложно подправить, главное не использовать winrar.

 

[tox1cozZ]

А ещё я постил утилиту, которая патчит старые либки, если нет возможности обновиться

 

[Icosider]

JndiRemover

 

[tox1cozZ]

Никогда не понимал, зачем на своем проекте делать модом или агентом, а не физически заменить библиотеку чтобы потом проблем не было.

 

[Icosider]

Когда много серверов, такое сложно обновлять без каких-либо проблем. Всегда можно что-то упустить, а потом иметь большие убытки. Да и я уже обсуждал этот момент, итог видишь сам.

 

[tox1cozZ]

Намного вероятнее во время вайпов всяких потерять мод и забыть вообще за него)

 

[Icosider]

Согласен, но всё не так просто, как может показаться с обновлением либы. Так что имеем, что имеем, думаю комментарии "а зачем", "а почему не так" тут будут излишне. Вдаваться в подробности я не могу.

 

[necauqua]

Да, агрумент в том что (относительно) много людей сидят на каких-то очень конкретных версиях игры, форджа и модов, для них агенты.
А ещё бывают штуки которые вот-прямо-сейчас нельзя/очень сложно обновить/ребутнуть, агенты работают по живому.
Хотя в контексте майна это слабо применимо, вестимо

 

[tox1cozZ]

Ну я постил патчер, который сам ищет джарники log4j2, убирает уязвимости/лукапы и сохраняет готовый джарник. И не надо версию обновлять, соответственно ничего не сломается.