2011 年 10 月 23 日
已经报告出现一种新的互联网蠕虫,这种蠕虫会通过未安装补丁或不安全的 JBoss 应用程序服务器及变种产品传播。被感染的主机会扫描并连接到未受保护的 JMX 控制台,然后在目标系统上执行代码。Red Hat 的数据显示,这种蠕虫会影响未正确保护其 JMX 控制台的 JBoss 应用程序服务器用户,使用未安装补丁的早期版本 JBoss 企业版产品的用户也会受到影响。
有关这种蠕虫的详细信息(包括有关如何检测和清理的 JBoss 社区说明),请参阅此处:http://community.jboss.org/blogs/mjc/2011/10/20/statement-regarding-security-threat-to-jboss-application-server。
此威胁可以通过下面的一些基本安全最佳实践来减轻。首先,请根据需要全新安装最新版本或将现有版本更新到最新版本,从而确保您运行的是最新版本的 JBoss 企业版产品。Red Hat 在 2010 年 4 月发布了对 JBoss 企业版产品的一个更新来解决此问题 (CVE-2010-0738),请参阅:https://access.redhat.com/kb/docs/DOC-30741。
其次,使用用户名/密码文件或您自己的 Java 身份验证和授权服务 (JAAS) 域来进行身份验证,从而保护 JBoss 企业版产品的 JMX 控制台。Red Hat 的一篇文章提供了有关如何保护 JMX 控制台的详细说明,请参阅:https://developer.jboss.org/docs/DOC-12190。
JBoss 企业版产品的 JMX 控制台可以在 TCP 端口 8080 上运行,也可以在 TCP 端口 8443 上运行(如果您按照上述说明操作并通过 SSL 来保护 JMX 控制台)。
AWS 建议您将限制 TCP 端口 8080 和/或 8443 端口(或者您为 JMX 控制台选择的其他端口)的入站访问权限,将其限定为应从中发起合法 JMX 控制台会话的源 IP 地址。这种访问限制可以通过配置 EC2 安全组来进行执行。有关如何正确配置和应用安全组的信息和示例,请参阅以下文档:http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/index.html?adding-security-group-rules.html。