Resolvendo vulnerabilidade “HttpAdaptor JMXInvokerServlet está acessível a usuários remotos não autenticados”

0

Recentemente, nossa equipe de informações de segurança determinou que há uma vulnerabilidade em um de nossos sistemas.

Descrição da vulnerabilidade:

JBoss HttpAdaptor JMXInvokerServlet is Accessible to Unauthenticated Remote Users

Pesquisando isso não forneceu muita informação. Como podemos resolver o problema?

    
por Sri N 06.11.2012 / 09:29

1 resposta

2

O JBoss vem com vários pontos de acesso de administrador que precisam ser protegidos ou removidos para impedir o acesso não autorizado a funções administrativas em uma implantação. As seções a seguir descrevem os vários serviços de administração e como protegê-los.

O serviço jmx-console.war

O jmx-console.war encontrado no diretório deploy fornece uma visão HTML no microkernel JMX. Portanto, ele fornece acesso arbitrário ao tipo de administrador, como desligar o servidor, interromper serviços, implantar novos serviços e assim por diante. Ele deve ser protegido como qualquer outro aplicativo da Web ou removido.

O serviço web-console.war

O web-console.war encontrado no diretório deploy / management é outra exibição de aplicativo da Web no microkernel JMX. Isso usa uma combinação de um applet e uma exibição HTML e fornece o mesmo nível de acesso à funcionalidade administrativa do jmx-console.war. Portanto, ele deve ser protegido ou removido. O web-console.war contém modelos com comentários para segurança básica em seu WEB-INF / web.xml, bem como configurações comentadas para um domínio de segurança em WEB-INF / jboss-web.xml.

O serviço link

O http-invoker.sar encontrado no diretório de implementação é um serviço que fornece acesso RMI / HTTP para EJBs e o serviço de Nomenclatura JNDI. Isso inclui um servlet que processa postagens de objetos org.jboss.invocation.Invocation empacotados que representam invocações que devem ser despachadas no MBeanServer. Isso efetivamente permite o acesso a MBeans que suportam a operação do invocador desanexado via HTTP, porque alguém pode descobrir como formatar uma postagem HTTP apropriada. Para proteger este ponto de acesso, você precisaria proteger o servlet JMXInvokerServlet encontrado no descritor http-invoker.sar / invoker.war / WEB-INF / web.xml. Um mapeamento seguro é definido para o caminho / restricted / JMXInvokerServlet por padrão; para usá-lo, basta remover os outros caminhos e configurar o domínio de segurança http-invoker no descritor http-invoker.sar / invoker.war / WEB-INF / jboss-web.xml.

O serviço jmx-invoker-adapter-server.sar

O jmx-invoker-adapter-server.sar é um serviço que expõe a interface do JMX MBeanServer por meio de uma interface compatível com RMI, usando o serviço de invocador desanexado RMI / JRMP. Atualmente, a única maneira de garantir esse serviço seria alternar o protocolo para RMI / HTTP e proteger o http-invoker.sar, conforme descrito na seção anterior. No futuro, este serviço será implantado como um XMBean com um interceptor de segurança que suporta verificações de acesso baseadas em função. Se você é tão inclinado, você pode configurar esta configuração hoje, seguindo o procedimento demonstrado na seção " Versão 3: Adicionando Segurança e Acesso Remoto ao JNDIMap XMBean "em Capítulo 2 ," O Microkernel do JBoss JMX "

    
por 21.02.2013 / 06:08

Tags