Home Sign Up Sign In
zoharSoul
V2EX  ›  Java

Java 的 JNDI rmi 现在还有在被经常使用吗?

  •   
  •   zoharSoul · Dec 10, 2021 · 2552 views
    This topic created in 1635 days ago, the information mentioned may be changed or developed.

    之前的 fastjson 现在的 log4j2 的漏洞都是这些相关的. 有可能直接关掉吗?

  • rmi
  • log4j2
  • fastjson
  • jndi
    2 replies    2021-12-10 15:25:07 +08:00
    xuanbg
        1
    xuanbg  
       Dec 10, 2021
    不能,但作为第三方组件,应该自觉不使用 JNDI ,因为这会让这个功能不可控。有需求自己调用 JNDI 就好了嘛。
    xia0pia0
        2
    xia0pia0  
       Dec 10, 2021
    RMI 有个 trustURLCodebase ,用来校验加载远程类的来源是否可信,JDK7U131/JDK8U121 之前是默认关闭的,后面就打开了。

    所以要比较轻松利用 RMI 攻击 JAVA 应用的话,还是要看 JDK 版本的,当然 RMI 的方式经常是放大隐患的原因。
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   953 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 93c8b4a0 · 31ms · UTC 21:58 · PVG 05:58 · LAX 14:58 · JFK 17:58
    ♥ Do have faith in what you're doing.