Сегодня утром я получил от аудиторов результат сканирования для нашего сервера jboss, и нам нужно решить три важных проблемы, но, честно говоря, я некоторое время гуглил и ничего не нашел. Если кто-нибудь знает или знает, как решить, я буду признателен. Мы запускаем jboss 5.0.1 на (windows 2003 x64)
Уязвимость сканирования:
.- JBoss HttpAdaptor JMXInvokerServlet is Accessible to Unauthenticated Remote Users
.- JBoss EJBInvokerServlet is Accessible to Unauthenticated Remote Users.
.- TLS Protocol Session Renegotiation Security Vulnerability
Заранее спасибо.
http: // yourservernamehere: 8080 / invoker / EJBInvokerServlet
Если вы оставили свою конфигурацию как есть, то у вас есть проблема.
Причина, по которой вы не хотите этого делать, довольно ясна: это позволяет любому вызывать любой сервлет, который им нужен, который есть в вашей системе.
Короткий ответ: найдите его в своем web.xml и отключите.
Специальная статья Tomcat о том, почему: http://www.astrahosting.com/blog/2009/09/16/chapter-14-tomcat-security-disables-an-invoker-servlet/
JBoss имеет ужасно небезопасные настройки по умолчанию, и блокировать их - это ужасная головная боль (много файлов, которые нужно потрогать, и грязная документация, распространяющаяся по всему творению на коллекции сайтов). Это хуже, чем были первые версии IIS в середине 1990-х годов.
ИМХО его никогда не следует открывать напрямую в Интернете - это слишком легко облажаться, и вы никогда не знаете, когда обновление представит новую «открытую для мира» функцию.
Итак, чтобы заблокировать его, поместите перед ним прокси-сервер и передайте только те шаблоны URL-адресов приложений, которые, как вы знаете, хотите, чтобы мир увидел. Мы используем nginx в качестве прокси в Linux для общения с серверами JBoss в Windows x64, но в этой области есть много вариантов. Четный ARR на IIS7 хорошо работает в этом сценарии.