修复后的log4j2在JNDI lookup中增加了很多的限制:
默认不再支持二次跳转(也就是命名引用)的方式获取对象
只有在log4j2.allowedLdapClasses列表中指定的class才能获取。
只有远程地址是本地地址或者在log4j2.allowedLdapHosts列表中指定的地址才能获取
以上几道限制,算是彻底封锁了通过打印日志去远程加载class的这条路了。
修复后的log4j2在JNDI lookup中增加了很多的限制: 默 ……
隐藏内容,支付积分阅读
已有90人购买此隐藏内容
隐藏内容,支付费用阅读
¥
已有86人购买此隐藏内容
隐藏内容,仅限以下用户组阅读
隐藏内容,登录后阅读
登录之后方可阅读隐藏内容
隐藏内容,评论后阅读
请在下面参与讨论之后,方可阅读隐藏内容
隐藏内容,加入圈子后阅读
您需要加入圈子之后才能查看帖子内容
您猜对了答案,下面是向您展示的隐藏信息:
[] [¥] 向 提问:
隐藏内容,猜对答案后阅读
猜错啦:您选中的是「」,正确答案是:「」
多选人参与投票
单选人参与投票
PK人参与PK
·已选
已选·
投票后查看结果,您的选择是?
思想因碰撞产生火花,真理因辩论获得升华
热门评论
:
该帖子评论已关闭
讨论
阅读剩余条回复 加载中...
没有讨论,您有什么看法?
请先登录!
图片审查中... ![]()
登录之后回答问题,请先登录!
编辑答案: 我的回答: 最多上传一张图片和一个附件
x
