我们使用JBoss 5.1.0 GA作为我们的应用服务器。我们的安全团队已将此漏洞标记为CVE-2012-0874。
描述:
JMXInvokerHAServlet和EJBInvokerHAServlet调用程序servlet在某些配置文件中默认允许未经身份验证的访问。由于安全拦截器提供的第二层身份验证,无法直接利用此漏洞。如果用户错误配置了安全拦截器或无意中将其禁用,则此漏洞将被利用。远程攻击者可以利用此漏洞调用MBean方法,并在运行JBoss服务器的用户的上下文中运行任意代码。
此问题已在JBoss 5.2.0企业应用程序平台更新中修复。
我们不想升级JBoss版本,并希望在现有版本中修复该问题。
在
下跟踪与漏洞相关的错误https://bugzilla.redhat.com/show_bug.cgi?id=795645
Bug提及的其中一条评论:
默认情况下阻止利用此漏洞的拦截器在jboss-as / server / $ PROFILE / deploy / jmx-invoker-service.xml中声明:
拦截器代码=" org.jboss.jmx.connector.invoker.AuthenticationInterceptor"的securityDomain ="的java:/ JAAS / JMX控制台"
我已经在5.1.0中检查了拦截器被注释,而在5.2.0中它被取消注释。
我需要知道的是,上述拦截器的取消注释将修复漏洞CVE-2012-0874,或者还有更多的更改要做。