23 أكتوبر 2011
لقد تم الإبلاغ عن دودة إنترنت جديدة تنتشر عبر خادم التطبيقات JBoss غير المصحح أو غير الآمن ومنتجات متنوعة. تقوم الأجهزة المضيفة المتأثرة بفحص وحدات تحكم JMX غير المحمية والاتصال بها ثم تنفيذ التعليمات البرمجية على النظام المستهدف. وفقًا لشركة Red Hat، تؤثر هذه الدودة على مستخدمي خادم التطبيقات JBoss الذين لم يؤمنوا وحدات التحكم JMX الخاصة بهم بشكل صحيح وكذلك مستخدمي الإصدارات الأقدم غير المصححة من منتجات مؤسسة JBoss.
تتوفر معلومات تفصيلية عن الدودة، بما في ذلك تعليمات مجتمع JBoss للكشف والمعالجة، هنا على الرابط التالي: http://community.jboss.org/blogs/mjc/2011/10/20/statement-regarding-security-threat-to-jboss-application-server.
يمكن تخفيف وطأة هذا التهديد باتباع بعض أفضل ممارسات الأمان الأساسية. أولًا، تأكد من تشغيل أحدث إصدار من منتجات مؤسسة JBoss إما من خلال تثبيت الإصدار الأحدث من البداية أو تحديث الإصدار الحالي إلى الأحدث، حسب الحاجة. أنتجت شركة Red Hat تحديثًا لمنتجات مؤسسة JBoss في أبريل 2010 لمعالجة هذه المشكلة (CVE-2010-0738)، يرجى مراجعة الرابط :https://access.redhat.com/kb/docs/DOC-30741.
ثانيًا، قم بتأمين وحدة التحكم JMX لمنتج مؤسسة JBoss الخاص بك مع المصادقة باستخدام إما ملف اسم المستخدم/كلمة المرور أو مجال خدمة Java للمصادقة والتفويض (JAAS). لقد وفرت شركة Red Hat مقالًا يشتمل على تعليمات تفصيلية عن كيفية تأمين وحدة تحكم JMX، يُرجى الرجوع إلى: https://developer.jboss.org/docs/DOC-12190.
قد تعمل وحدة التحكم JMX لمنتج مؤسسة JBoss الخاص بك على منفذ TCP 8080 أو بدلًا من ذلك، منفذ TCP 8443 (إذا كنت قد اتبعت التعليمات المذكورة أعلاه وقمت بتأمين وحدة التحكم JMX عبر SSL).
توصي AWS بتقييد منفذ TCP 8080 و/أو 8443 الوارد (أو أي منفذ اخترته لوحدة التحكم JMX الخاصة بك) فقط لعناوين IP المصدر من حيث ينبغي أن تنشأ جلسات وحدة التحكم JMX الشرعية. يمكن تطبيق قيود الوصول هذه عن طريق تكوين مجموعات أمان EC2 الخاصة بك وفقًا لذلك. للحصول على معلومات وأمثلة حول كيفية تكوين مجموعات الأمان وتطبيقها بشكل صحيح، يرجى الرجوع إلى المستند التالي: http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/index.html?adding-security-group-rules.html.