23 Ekim 2011
Düzeltme eki uygulanmamış veya güvenli olmayan JBoss Uygulama Sunucusu ve çeşitli ürünler aracılığıyla yayılan yeni bir internet solucanının ortaya çıktığı bildirilmiştir. Etkilenen konak sunucular, korunmayan JMX konsollarını tarayıp bunlara bağlandıktan sonra hedef sistemde kod yürütür. Red Hat'e göre bu solucan, JMX konsollarını doğru bir şekilde koruma altına almayan JBoss Uygulama Sunucusu kullanıcılarının yanı sıra JBoss kurumsal ürünlerinin eski ve düzeltme eki uygulanmamış sürümlerini kullanan kullanıcıları etkilemektedir.
Solucanı tespit edip temizlemeye yönelik JBoss topluluğu yönergeleri dahil olmak üzere solucan hakkında ayrıntılı bilgiye şu adresten ulaşabilirsiniz: http://community.jboss.org/blogs/mjc/2011/10/20/statement-regarding-security-threat-to-jboss-application-server.
Bu tehdidin riskleri, bazı temel güvenlik en iyi uygulamaları takip edilerek azaltılabilir. Öncelikle en son sürümü baştan yükleyerek veya mevcut sürümünüzü en son sürüme güncelleyerek JBoss kurumsal ürünlerinin en son sürümünü çalıştırdığınızdan emin olun. Red Hat'in, bu sorunu gidermek için Nisan 2010'da JBoss kurumsal ürünlerine yönelik hazırladığı güncellemeye (CVE-2010-0738) şu adresten göz atabilirsiniz: https://access.redhat.com/kb/docs/DOC-30741.
Ardından, bir kullanıcı adı / parola dosyası veya kendi Java Kimlik Doğrulama ve Yetkilendirme Hizmeti (JAAS) etki alanınızı kullanarak JBoss kurumsal ürününüzün JMX konsolunu kimlik doğrulamasıyla koruma altına alın. Red Hat'in, JMX konsolunu koruma altına almaya yönelik hazırladığı ve ayrıntılı yönergelerin bulunduğu makaleye şu adresten göz atabilirsiniz: https://developer.jboss.org/docs/DOC-12190.
(Yukarıda belirtilen yönergeleri takip edip JMX konsolunu SSL ile koruma altına aldıysanız) JBoss kurumsal ürününüzün JMX konsolu, 8080 numaralı TCP bağlantı noktasında veya alternatif olarak 8443 numaralı TCP bağlantı noktasında çalışabilir.
AWS, gelen 8080 ve/veya 8443 numaralı TCP bağlantı noktasını (ya da JMX konsolunuz için seçtiğiniz herhangi bir bağlantı noktasını) yalnızca yasal JMX konsol oturumlarının oluşturulduğu kaynak IP adresleriyle sınırlandırmanızı önerir. Bu erişim kısıtlamaları, EC2 Güvenlik Gruplarınızı buna göre yapılandırarak uygulanabilir. Güvenlik Gruplarını uygun bir şekilde yapılandırıp uygulama hakkında bilgi edinmek ve örnekler görmek için lütfen şu adresteki belgelere göz atın: http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/index.html?adding-security-group-rules.html.