<aside>
💡 Notion Tip: 漏洞原理笔记.
</aside>
Log4j2**(CVE-2021-44228)**
- 术语
- Log4j
- 原因概述
- 利用条件
- JNDI注入工具,常用的就是通过RMI和LDAP两种服务。
- 命名引用Naming Reference
- 不在命名/目录服务本地的一个资源,叫做命名引用,对应Reference类
- 让JNDI请求不存在的资源
- 当JNDI客户端在本地classpath找不到这个类中,就会去指定的远程地址请求下载这个类到本地执行。
- 攻击流程
- 总结
- 临时修复(任选其一)
- 完全修复
GitLab 任意用户密码重置(CVE-2023-7028)