Jboss安全问题CVE-2010-0738

时间:2012-12-29 13:14:33

标签: security jboss jboss-4.2.x

我有三台jboss服务器正在运行,它们从一个http池提供给我的组织外部。

问题在于jboss jmx-console安全问题。正如大多数人所知,jboss安全漏洞是作为CVE-2010-0738的代码发布的。但是,即使我从web.xml中删除了http方法GET和POST行,问题仍然存在。

任何帮助都将不胜感激。

非常感谢。

1 个答案:

答案 0 :(得分:0)

您无法将服务器绑定到外部地址,并且只允许从本地地址访问jmx-console。

jboss-4.2.3默认禁用jmx-console的安全性,因此你必须激活它。你需要做三个步骤。

  1. 取消注释jmx-console / WEB-INF / web.xml中的最后一部分web.xml(具有security-constraint,login-config和security-role的部分)
  2. 取消注释jboss-web.xml(line)中的一行
  3. 更改服务器中的密码/ <profile> / conf / props / jmx-console-users.properties

    4. 现在只能使用jmx-console-users.properties中设置的用户和密码以及jmx-console-roles.properties中的角色JBossAdmin来访问jmx-console

    并且不要忘记删除已经提到过的部分:

    <http-method>GET</http-method>
<http-method>POST</http-method>

    您还可以通过从部署目录中删除整个jmx-console来完全禁用jmx-console。

相关问题
最新问题