5.3.10. JDK¶
5.3.10.1. JDK 6¶
5.3.10.1.1. 6u45¶
java.rmi.server.useCodebaseOnly 默认为 true,禁用自动加载远程类文件
5.3.10.1.2. 6u141¶
com.sun.jndi.rmi.object.trustURLCodebase默认为falsecom.sun.jndi.cosnaming.object.trustURLCodebase默认为false
5.3.10.1.3. 6u211¶
LDAP远程Reference代码默认不信任,影响LDAP远程Reference代码攻击方式
5.3.10.2. JDK 7¶
5.3.10.2.1. 7u40¶
java.io.File类中添加了isInvalid方法,检测文件名中是否包含空字节
5.3.10.2.2. 7u122¶
com.sun.jndi.rmi.object.trustURLCodebase默认为falsecom.sun.jndi.cosnaming.object.trustURLCodebase默认为false
5.3.10.2.3. 7u201¶
LDAP远程Reference代码默认不信任,影响LDAP远程Reference代码攻击方式
5.3.10.3. JDK 8¶
sun.net.www.protocol不再支持gopher协议
5.3.10.3.1. 8u113¶
com.sun.jndi.rmi.object.trustURLCodebase默认为falsecom.sun.jndi.cosnaming.object.trustURLCodebase默认为false
5.3.10.3.2. 8u121¶
RMI加入了反序列化白名单机制
RMI远程Reference代码默认不信任,影响RMI远程Reference代码攻击方式
5.3.10.3.3. 8u191¶
LDAP远程Reference代码默认不信任,影响LDAP远程Reference代码攻击方式
5.3.10.3.4. 8u251¶
com.sun.org.apache.bcel.internal.util.ClassLoader 类被删除