修复后的log4j2在JNDI lookup中增加了很多的限制: 默 ……

修复后的log4j2在JNDI lookup中增加了很多的限制:
默认不再支持二次跳转(也就是命名引用)的方式获取对象
只有在log4j2.allowedLdapClasses列表中指定的class才能获取。
只有远程地址是本地地址或者在log4j2.allowedLdapHosts列表中指定的地址才能获取
以上几道限制,算是彻底封锁了通过打印日志去远程加载class的这条路了。

圈主 管理员

待审

热门评论
:
讨论
  • 阅读剩余条回复 加载中...
没有讨论,您有什么看法?
图片审查中...
我的回答: 最多上传一张图片和一个附件
x
x
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索