私たちはアプリケーションサーバーとしてJBoss 5.1.0 GAを使用しています。当社のセキュリティチームはCVE-2012-0874の脆弱性を警告しています。JBoss 5.1.0 ASの脆弱性CVE-2012-0874
説明:
JMXInvokerHAServletとEJBInvokerHAServlet呼び出しサーブレットは、いくつかのプロファイルでは、デフォルトで認証されていないアクセスを許可します。セキュリティインターセプタによって提供される第2の認証層のために、この欠陥を直接的に利用する方法はありません。ユーザがセキュリティインターセプタを誤って設定した場合、または誤って無効にした場合、この欠陥は悪用される可能性があります。リモートの攻撃者はこの欠陥を悪用して、JBossサーバーを実行しているユーザーのコンテキストでMBeanメソッドを呼び出したり、任意のコードを実行したりする可能性があります。
この問題は、JBoss 5.2.0エンタープライズアプリケーションプラットフォームのアップデートで修正されています。
JBossバージョンをアップグレードしたくないため、既存のバージョンで問題を修正したいと考えています。
は、脆弱性に関連するバグがバグのコメントのhttps://bugzilla.redhat.com/show_bug.cgi?id=795645
一つ下追跡され
言及 :デフォルトでは、この欠陥のブロック搾取がjboss-で宣言されていることを
インターセプターas/server/$ PROFILE/deploy/jmx-invoker-service.xml:
インターセプタコード= "org.jboss.jmx.connector.invoker.AuthenticationInterceptor" securityDomain = "jav a:/ jaas/jmx-console "
5.1.0でチェックされていますが、5.2.0ではコメントされていますが、コメントは解除されています。
私が知る必要があるのは、上記のインターセプタのコメントを外してCVE-2012-0874の問題を解決するか、それ以上の変更が行われるかどうかです。