V2EX = way to explore V2EX 是一个关于分享和探索的地方
Sign Up Now For Existing Member Sign In
This topic created in 1599 days ago, the information mentioned may be changed or developed.
之前的 fastjson 现在的 log4j2 的漏洞都是这些相关的. 有可能直接关掉吗?
 | 1 xuanbg Dec 10, 2021 不能,但作为第三方组件,应该自觉不使用 JNDI ,因为这会让这个功能不可控。有需求自己调用 JNDI 就好了嘛。 |
 | 2 xia0pia0 Dec 10, 2021 RMI 有个 trustURLCodebase ,用来校验加载远程类的来源是否可信,JDK7U131/JDK8U121 之前是默认关闭的,后面就打开了。 所以要比较轻松利用 RMI 攻击 JAVA 应用的话,还是要看 JDK 版本的,当然 RMI 的方式经常是放大隐患的原因。 |
Select Language