Java调试线协议远程代码执行漏洞- joss

Question

我们的安全团队在jboss中发现了JDWP的以下问题。，我怎样才能解决这个问题?

-Djavax.net.ssl.trustStorePassword=changeit -Dhttps.protocols=TLSv1 -Xdebug -Xrunjdwp:transport=dt_socket，address=8787，server=y，suspend=n -Dsun.rmi.dgc.client.gcInterval=3600000 -Dsun.rmi.dgc.server.gcInterval=3600000 -Dorg.jboss.boot.log.file=/

标题：远程代码执行漏洞

严重程度:严重程度

描述

受影响寄主

• IP地址:tcp/8787

远程服务器正在运行服务。如果启用服务，则不需要身份验证。

恶意用户可利用这些漏洞执行任意代码。

补救措施

禁用服务

概念证明

通过TCP在8787端口检测到Java Debug Wire Protocol远程代码执行漏洞。

谢谢你，毗瑟奴

Answer 1

您只需要禁用远程调试。将命令选项更改为：

-Djavax.net.ssl.trustStorePassword=changeit -Dhttps.protocols=TLSv1 -Dsun.rmi.dgc.client.gcInterval=3600000 -Dsun.rmi.dgc.server.gcInterval=3600000 -Dorg.jboss.boot.log.file=/

Answer 2

您有：address=8787 (在我的例子中，我有address=*:5005)，这意味着您的机器将接受来自任何主机(来源)的连接。这允许攻击者在运行此命令的机器上执行任意代码(又是另一个来源)。

在我的例子中，禁用远程调试不是一个选项，所以我指定了哪些主机可以访问，哪个是本地主机，即address=localhost:5005。这只允许本地主机连接，而不允许其他任何人连接。