之前的 fastjson 现在的 log4j2 的漏洞都是这些相关的. 有可能直接关掉吗?
This topic created in 1615 days ago, the information mentioned may be changed or developed.
 |
1
xuanbg Dec 10, 2021
不能,但作为第三方组件,应该自觉不使用 JNDI ,因为这会让这个功能不可控。有需求自己调用 JNDI 就好了嘛。
|
 |
2
xia0pia0 Dec 10, 2021
RMI 有个 trustURLCodebase ,用来校验加载远程类的来源是否可信,JDK7U131/JDK8U121 之前是默认关闭的,后面就打开了。
所以要比较轻松利用 RMI 攻击 JAVA 应用的话,还是要看 JDK 版本的,当然 RMI 的方式经常是放大隐患的原因。 |
Select Language