Java web服务器组件Jolokia的配置错误将使组织处于危险之中

常用Java Web服务器组件的配置错误会使网站面临受到攻击的风险,Web开发人员和安全研究员Mat Mannion警告说。

Jolokia Java管理扩展(JMX)的缺点为信息泄露,拒绝服务以及对Java Web服务器的其他潜在攻击打开了大门。

出现问题的原因是Jolokia的某些版本,比如WAR代理,“默认情况下不安全”,Mannion说。尽管Jolokia大部分是作为监控技术部署的,但滥用的范围相当广泛。

“Tomcat(以及其他servlet容器)通过JMX导出大量信息,Jolokia允许对这些MBean执行任意命令,这可能导致敏感信息泄露或DoS [拒绝服务],”Mannion说。

他告诉埃尔Reg,在很多情况下,这个问题影响了几个备受瞩目的网站,包括那些由金融服务公司和银行经营的网站。“JMX桥中的错误配置导致数据库凭证等信息可通过HTTP以明文方式提供。”

Mannion在网络上扫描了不安全的Jolokia域名,并发现了数十个易受攻击的网站。他使用HackerOne通知受影响的网站,其中大多数网站在上周一公布博客文章概述了他的发现之前通知受影响的网站,其中大多数网站已经收紧安装以防止滥用。

他的建议包括对Apache Tomcat 8 servlet容器的无害概念验证攻击。

通知

领导英国华威大学网络开发团队的Mannion在发布他的研究之前通知Jolokia和Apache安全团队的维护人员。

“我的观点是广泛的错误配置,但WAR代理以这种方式发货的事实是我希望能够解决的,”他告诉El Reg。“与管理员应用程序在Tomcat中的发布方式进行比较;在定义用户和角色来访问它之前,它不会运行。”

一位Apache安全团队成员表示:“我们同意Mat [Mannion的]评估,Jolokia的WAR分发默认情况下不安全,”他补充说,这个问题不是Apache Tomcat中的漏洞。

Jolokia的维护者Roland Huss也同意Mannion的观点,他认为这涉及到不安全的设置问题而不是bug。

“我确实认为这是一个严重的问题,但它不是Jolokia的一个bug,”Huss说。“WAR代理中的默认设置(还有其他类型的Jolokia代理)也是不安全的,因为没有简单的方法来描述正确的安全设置,因为这是servlet容器特定的(例如Tomcat和Jetty不同)。

“文件中有一个警告来保证WAR代理人的安全,包括如何这样做的指示,”Huss总结道,他补充说,他打算调整包裹的分配方式,以使警告更加突出。

  • 发表于:
  • 原文链接:http://www.theregister.co.uk/2018/06/25/java_web_server_jolokia_insecure

扫码关注云+社区

领取腾讯云代金券