Мы используем JBoss 5.1.0 GA в качестве нашего сервера приложений. Наша команда безопасности отметила уязвимость CVE-2012-0874.JBoss 5.1.0 AS Уязвимость CVE-2012-0874
Описание:
заклинателя сервлеты JMXInvokerHAServlet и EJBInvokerHAServlet позволяет неаутентифицированный доступ по умолчанию в некоторых профилях. Из-за второго уровня аутентификации, предоставляемого перехватчиком безопасности, нет возможности напрямую использовать этот недостаток. Если пользователь неправильно сконфигурировал перехватчик безопасности или непреднамеренно отключил его, этот недостаток можно было бы использовать. Удаленный злоумышленник может использовать этот недостаток для вызова методов MBean и запуска произвольного кода в контексте пользователя, на котором запущен сервер JBoss.
Эта проблема исправлена в обновлении платформы Enterprise Application Platform JBoss 5.2.0.
Мы не хотим обновлять версию JBoss и хотели бы исправить проблему в существующей версии.
Исправлена ошибка, связанная с уязвимостью отслеживается под
https://bugzilla.redhat.com/show_bug.cgi?id=795645
Один из комментариев в Буге упоминает:
перехватчика, который блокирует использование этого недостатка по умолчанию объявляется в jboss- as/server/$ PROFILE/deploy/jmx-invoker-service.xml:
Код перехватчика = "org.jboss.jmx.connector.invoker.AuthenticationInterceptor" securityDomain = "jav a:/jaas/jmx-console «
Я проверил в 5.1.0, перехватчик комментируется, а в 5.2.0 он раскоментирован.
Что мне нужно знать, будет ли раскол вышеупомянутого перехватчика зафиксировать уязвимость CVE-2012-0874 или будет сделано больше изменений.