JBoss 5.1.0作为漏洞CVE-2012-0874

Question

我们使用JBoss 5.1.0GA作为我们的应用服务器。我们的安全小组已经标记了CVE-2012-0874漏洞。

描述：

在某些概要文件中，JMXInvokerHAServlet和EJBInvokerHAServlet调用器servlet默认允许未经身份验证的访问。由于安全拦截器提供了第二层身份验证，因此无法直接利用此漏洞。如果用户配置错误的安全拦截器或无意中禁用它，则此漏洞将被利用。远程攻击者可以利用此漏洞调用MBean方法，并在运行JBoss服务器的用户的上下文中运行任意代码。

此问题已在JBoss 5.2.0企业应用程序平台更新中得到解决。

我们不想升级JBoss版本，并且希望修复现有版本中的问题。

与该漏洞相关的错误被跟踪在

bug.cgi?id=795645

Bug中的一条评论提到：

默认情况下阻止利用此漏洞的拦截器在jboss-as/server/$PROFILE/deploy/jmx-invoker-service.xml:中声明。

code="org.jboss.jmx.connector.invoker.AuthenticationInterceptor“securityDomain="java:/jaas/jmx-console"拦截器

我在5.1.0中检查了拦截器，而在5.2.0中没有注释。

我需要知道的是，上述拦截器的取消注释将修复CVE-2012-0874的漏洞，或者还有更多的更改要做。

Answer 1

用这个工具https://github.com/joaomatosf/jexboss测试你的服务器，它给你的响应.