java - EJBInvokerServlet/JMXInvokerServlet

标签 java security jboss

感谢所有阅读这篇文章的人。

外部机构对我的 JBoss 4.0.4 实例上的临时服务器应用程序执行了渗透测试。

报告称“Apache Tomcat/JBoss EJBInvokerServlet/JMXInvokerServlet 编码对象远程代码执行”

建议升级JBoss服务器以修复该漏洞。由于不同的业务原因,我在未来 1 年内无法升级到最新版本。

在我的应用程序中,我们不需要通过任何这些 Servlet 使用任何 war 部署。我做了一些改变来解决[接下来一年的解决办法]。测试环境是否仍然容易受到所报告案例影响的最佳方法是什么? – 无法再次从外部机构获取服务。

顺便说一句,在我进行更改后,对于网址 http:///invoker/EJBInvokerServlet 和 http:///invoker/JMXInvokerServlet 我可以看到带有消息“请求的资源 (/invoker/JMXInvokerServlet) 不可用”的页面.' 在更改之前,这些 url 打开 EJBInvokerServlet 和 JMXInvokerServlet

有人可以建议验证环境是否仍然脆弱的方法吗?

还请告诉我是否有任何推荐的解决方案可以修复 JBoss 4.0.4 中的漏洞。

谢谢。

最佳答案

您似乎指的是 CVE-2012-0874:

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-0874

可以在以下位置找到此漏洞的利用:

http://www.securityfocus.com/bid/62854

查看该页面上的“利用”选项卡。 PHP 代码尝试使用 HTTP POST 请求来部署任意的 war 文件。

您说过您无法再访问/invoker/EJBInvokerServlet 和/invoker/JMXInvokerServlet 资源,所以您是安全的。

关于java - EJBInvokerServlet/JMXInvokerServlet,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/23422079/

上一篇:java - 如何判断EC点是否在曲线上?

下一篇:java - SQL 检索和存储整数

相关文章:

security - Spring 启动: Full authentication is required to access this resource

c - 此 C 代码片段背后的安全考虑

security - 如何保护REST-API?

java - JFace:为特定节点扩展更多级别

java - JBoss 日志目录中的 swo 和 swp 文件是什么?

model-view-controller - RESTeasy并返回带有模型的JSP页面

java - 如何提高Jboss 使用的内存量?

java - 设置 map 类型时应用程序停止

java - 如何初始化这个数组以便它在 while 循环中工作?

java - Rythm:根据请求创建新引擎或在现有引擎实例上设置语言/区域设置

©2024 IT工具网  联系我们