Недавно наша информационная служба безопасности обнаружила уязвимость в одной из наших систем.
Описание уязвимости:
JBoss HttpAdaptor JMXInvokerServlet доступен для неаутентифицированных удаленных пользователей
Поиск в Google по этому вопросу не дал много информации. Как мы можем решить проблему?
JBoss поставляется с несколькими точками доступа администратора, которые необходимо защитить или удалить, чтобы предотвратить несанкционированный доступ к функциям администратора в развертывании. В следующих разделах описываются различные службы администратора и способы их защиты.
Служба jmx-console.war
Файл jmx-console.war, находящийся в каталоге deploy, обеспечивает представление HTML в микроядре JMX. Следовательно, он обеспечивает доступ к произвольному доступу типа администратора, например, к выключению сервера, остановке служб, развертыванию новых служб и т.д. Он должен быть защищен как любое другое веб-приложение или удален.
Сервис web-console.war
Файл web-console.war, находящийся в каталоге deploy/management, представляет собой еще одно представление веб-приложения в микроядре JMX. Он использует комбинацию апплета и представления HTML и обеспечивает тот же уровень доступа к функциям администратора, что и jmx-console.war. Поэтому его следует либо обезопасить, либо удалить. Web-console.war содержит закомментированные шаблоны для базовой безопасности в своем WEB-INF/web.xml, а также закомментированные настройки для домена безопасности в WEB-INF/jboss-web.xml.
Сервис http-invoker.sar
Http-invoker.sar, находящийся в каталоге deploy, является службой, которая обеспечивает RMI/HTTP-доступ для EJB и службы именования JNDI. Это включает в себя сервлет, который обрабатывает сообщения с маршалированной org.jboss.invocation.Объекты вызова, которые представляют вызовы, которые должны быть отправлены на MBeanServer. Это эффективно обеспечивает доступ к MBean-компонентам, которые поддерживают операцию отсоединенного вызывающего, через HTTP, потому что кто-то может выяснить, как отформатировать соответствующий HTTP-пост. Чтобы защитить эту точку доступа, вам необходимо защитить сервлет JMXInvokerServlet, который находится в дескрипторе http-invoker.sar/invoker.war/ WEB-INF/ web.xml. Безопасное отображение определено для пути / limited / JMXInvokerServlet по умолчанию; чтобы использовать его, вам просто нужно удалить другие пути и настроить настройки домена безопасности http-invoker в дескрипторе http-invoker.sar/invoker.war/ WEB-INF/ jboss-web.xml.
Сервис jmx-invoker-adapter-server.sar
Jmx-invoker-adapter-server.sar - это сервис, который предоставляет интерфейс JMX MBeanServer через RMI-совместимый интерфейс, используя службу отдельного вызова RMI/JRMP. В настоящее время единственный способ обеспечить защиту этой службы - это переключить протокол на RMI/HTTP и защитить http-invoker.sar, как описано в предыдущем разделе. В будущем эта служба будет развернута как XMBean с перехватчиком безопасности, который поддерживает проверки доступа на основе ролей. Если вы так склонны, вы можете настроить эту конфигурацию сегодня, следуя процедуре, показанной в разделе « Версия 3: Добавление защиты и удаленного доступа к JNDIMap XMBean » в главе 2 «Микроядро JBoss JMX».
