Vol*_*ıcı 8
CVE-2021-44228 根据攻击者的想象力创造了一个巨大的攻击面,而RCE只是其中之一。
我强烈建议您通过依赖针对特定攻击向量的 JVM 功能来避免得出错误的结论;有更多的向量。只需log4j-core升级到 2.15.0 或设置log4j2.formatMsgNoLookups=true系统属性。
che*_*hes 6
回答问题的信:
默认情况下,相关系统属性似乎没有任何值。如果他们这样做了,您可以检查:
java -XshowSettings:properties -version
请注意,-X标志是非标准的,尽管 IBM Java 支持这个(检查 Semeru 11)。
至于上下文:
实现(至少在OpenJDKfalse中)查询属性值,如果属性未设置,则默认为,例如,
java -XshowSettings:properties -version
因此-XshowSettings,问题中的编程检查都无助于确定您的 JVM 对这些功能的默认行为,或者如果您明确设置它们,您正在运行的 JVM 版本是否完全使用这些属性。
我同意Volkan 的观点,但我也想验证这些(危险的)JNDI功能是否被禁用,无论 Log4j 漏洞如何。不幸的是,尽管我们需要另一种方法来做到这一点,理想情况下是一种独立于实现的方法。
更多推荐
默认值,IBM,Java,CVE
发布评论