Esta manhã eu recebi dos auditores um resultado de scanner para o nosso servidor jboss e precisamos resolver três questões importantes, mas honestamente eu estava pesquisando por um tempo e nada foi encontrado. Se alguém sabe ou tem alguma idéia de como resolver, eu aprecio. Estamos executando o jboss 5.0.1 em (windows 2003 x64)
Vulnerabilidade de verificação:
.- JBoss HttpAdaptor JMXInvokerServlet is Accessible to Unauthenticated Remote Users
.- JBoss EJBInvokerServlet is Accessible to Unauthenticated Remote Users.
.- TLS Protocol Session Renegotiation Security Vulnerability
Obrigado antecipadamente.
Se você deixou sua configuração como está, o acima está disponível, você tem um problema.
O motivo pelo qual você não quer fazer isso é bem claro, ele permite que qualquer pessoa invoque qualquer servlet que queira que esteja em seu sistema.
A resposta curta é: encontre-o em seu web.xml e desative-o.
Um artigo específico do Tomcat sobre o porquê: link
O JBoss tem horrível padrões inseguros, e é uma péssima tarefa para bloquear (muitos arquivos para tocar e documentação suja espalhados por toda a criação em uma coleção de sites). É pior do que as primeiras versões do IIS em meados da década de 1990.
IMHO nunca deve ser exposto diretamente à internet - é muito fácil de estragar, e você nunca sabe quando uma atualização irá introduzir um novo "recurso" aberto para o mundo.
Então, para bloqueá-lo, coloque um proxy na frente dele e passe apenas os padrões de URL do aplicativo que você sabe que deseja que o mundo veja. Estamos usando o nginx como proxy no Linux, conversando com servidores JBoss no Windows x64, mas há muitas opções nessa área. Mesmo o ARR no IIS7 funciona bem neste cenário.