V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
zoharSoul
V2EX  ›  Java

Java 的 JNDI rmi 现在还有在被经常使用吗?

  •  
  •   zoharSoul · 2021-12-10 14:39:53 +08:00 · 2027 次点击
    这是一个创建于 1086 天前的主题,其中的信息可能已经有所发展或是发生改变。

    之前的 fastjson 现在的 log4j2 的漏洞都是这些相关的. 有可能直接关掉吗?

    2 条回复    2021-12-10 15:25:07 +08:00
    xuanbg
        1
    xuanbg  
       2021-12-10 14:55:22 +08:00
    不能,但作为第三方组件,应该自觉不使用 JNDI ,因为这会让这个功能不可控。有需求自己调用 JNDI 就好了嘛。
    xia0pia0
        2
    xia0pia0  
       2021-12-10 15:25:07 +08:00
    RMI 有个 trustURLCodebase ,用来校验加载远程类的来源是否可信,JDK7U131/JDK8U121 之前是默认关闭的,后面就打开了。

    所以要比较轻松利用 RMI 攻击 JAVA 应用的话,还是要看 JDK 版本的,当然 RMI 的方式经常是放大隐患的原因。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1019 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 19:42 · PVG 03:42 · LAX 11:42 · JFK 14:42
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.