Java 的 JNDI rmi 现在还有在被经常使用吗?

2021-12-10 14:39:53 +08:00
 zoharSoul

之前的 fastjson 现在的 log4j2 的漏洞都是这些相关的. 有可能直接关掉吗?

1928 次点击
所在节点    Java
2 条回复
xuanbg
2021-12-10 14:55:22 +08:00
不能,但作为第三方组件,应该自觉不使用 JNDI ,因为这会让这个功能不可控。有需求自己调用 JNDI 就好了嘛。
xia0pia0
2021-12-10 15:25:07 +08:00
RMI 有个 trustURLCodebase ,用来校验加载远程类的来源是否可信,JDK7U131/JDK8U121 之前是默认关闭的,后面就打开了。

所以要比较轻松利用 RMI 攻击 JAVA 应用的话,还是要看 JDK 版本的,当然 RMI 的方式经常是放大隐患的原因。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/821340

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX