log4j2漏洞介绍
漏洞原理
Apache Log4j2存在拒绝服务漏洞。该漏洞是由于Apache Log4j2配置了非默认的带有Context Lookup的Pattern Layout场景(例如:$${ctx:loginId})。
影响范围
Apache Apache Log4j >=2.0.0,< 2.17.0
Jndi基础
JNDI(Java Naming and Directory Interface,Java命名和目录接口)是SUN公司提供的一种标准的Java命名系统接口,JNDI提供统一的客户端API,通过不同的访问提供者接口JNDI服务供应接口(SPI)的实现,由管理者将JNDI API映射为特定的命名服务和目录系统,使得Java应用程序可以和这些命名服务和目录服务之间进行交互。目录服务是命名服务的一种自然扩展。两者之间的关键差别是目录服务中对象不但可以有名称还可以有属性(例如,用户有email地址),而命名服务中对象没有属性 。
集群JNDI实现了高可靠性JNDI,通过服务器的集群,保证了JNDI的负载平衡和错误恢复。在全局共享的方式下,集群中的一个