4

Java 的 JNDI rmi 现在还有在被经常使用吗?

 2 years ago
source link: https://www.v2ex.com/t/821340
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

V2EX  ›  Java

Java 的 JNDI rmi 现在还有在被经常使用吗?

  zoharSoul · 2 小时 9 分钟前 · 383 次点击

之前的 fastjson 现在的 log4j2 的漏洞都是这些相关的. 有可能直接关掉吗?

2 条回复    2021-12-10 15:25:07 +08:00

xuanbg

xuanbg      1 小时 54 分钟前

不能,但作为第三方组件,应该自觉不使用 JNDI ,因为这会让这个功能不可控。有需求自己调用 JNDI 就好了嘛。

xia0pia0

xia0pia0      1 小时 24 分钟前

RMI 有个 trustURLCodebase ,用来校验加载远程类的来源是否可信,JDK7U131/JDK8U121 之前是默认关闭的,后面就打开了。

所以要比较轻松利用 RMI 攻击 JAVA 应用的话,还是要看 JDK 版本的,当然 RMI 的方式经常是放大隐患的原因。

report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK