服务器 Gind.cn
  1. 服务器 Gind.cn
  3. JBOSS漏洞
Intereting Posts
在我的web服务器上启用RFC 5746(TLS重新协商指示扩展)有什么缺陷? MySQLlogging与NOW()不同的时间 KVM虚拟机无法访问IPv6网站 Munin通过munin-asyncd监视FreeBSD客户端不起作用 ADFS只允许login到Office 365 我可以告诉Integration Services的SSIS包上的最后修改date吗? 如果连接到端口X,则暂时阻断与主机的通信 连接到Facebook时,鱿鱼崩溃 SNMP – CPU处理器负载的价值不反映现实 Unix的身份pipe理是否修改AD模式? 如何在QNAP TVS-871T上安装nohup Windows Guest虚拟机中的ESXi5 – 12networking接口 Cisco ASA 5512x上的静态公共IP问题 如何在会话正在使用时在远程桌面上连接时更改超时? 服务器2008年 jmxremote会影响tomcat的性能吗?

JBOSS漏洞

今天早上,我从审计人员那里得到了我们的jboss服务器的扫描结果,我们需要解决三个重要的问题,但老实说,我一直在googlesearch,没有发现任何东西。 如果有人知道或有任何线索如何解决,我将不胜感激。 我们正在运行jboss 5.0.1(windows 2003 x64)

扫描漏洞 

.- JBoss HttpAdaptor JMXInvokerServlet is Accessible to Unauthenticated Remote Users .- JBoss EJBInvokerServlet is Accessible to Unauthenticated Remote Users. .- TLS Protocol Session Renegotiation Security Vulnerability

提前致谢。

HTTP:// yourservernamehere:8080 /调用/ EJBInvokerServlet

如果你已经离开了你的configuration,上面是可用的,你有一个问题。

你不想这样做的原因很明显,它允许任何人调用他们想要的系统上的任何servlet。

简短的回答是,在你的web.xml中find并禁用它。

一个关于为什么的Tomcat特定文章: http : //www.astrahosting.com/blog/2009/09/16/chapter-14-tomcat-security-disabling-an-invoker-servlet/

JBoss的默认值是非常不安全的,而且是一个非常痛苦的屁股(很多文件需要触摸,而糟糕的文档遍布在一系列网站上)。 这比IIS的第一个版本早在20世纪90年代中期就差了。

恕我直言,它永远不应该直接暴露在互联网上 – 这太容易搞砸了,你永远不知道什么时候升级将引入一个新的开放的世界“function”。

因此,要locking它,请在其前放一个代理,并只传递您希望世界可以看到的应用程序URL模式。 我们使用nginx作为Linux上与Windows x64上的JBoss服务器通信的代理,但是在这方面有很多select。 在这种情况下,即使是IIS7上的ARR也能正常工作。