2011 年 10 月 23 日
據報目前發現一種新型網路蠕蟲,經由未修補或不安全的 JBoss 應用程式伺服器及相關系列產品傳播。被感染的主機會掃描並連線至未受保護的 JMX 主控台,然後在目標系統上執行程式碼。根據 Red Hat 描述,此種蠕蟲會影響未正確保護 JMX 主控台的 JBoss 應用程式伺服器使用者,以及較舊版及未經修補版本的 JBoss 企業產品使用者。
如需此蠕蟲的詳細資訊,包括 JBoss 社群所提出的偵測與清除說明,請參閱 http://community.jboss.org/blogs/mjc/2011/10/20/statement-regarding-security-threat-to-jboss-application-server。
採取以下基本安全最佳實務,可減緩此威脅的影響。首先,務必確保您所執行的 JBoss 企業產品為最新版本,方法包括安裝最新版本產品,或從現有版本更新至最新版本。Red Hat 已在 2010 年 4 月針對 JBoss 企業產品提供更新解決此問題 (CVE-2010-0738),請參閱 https://access.redhat.com/kb/docs/DOC-30741。
再來,請使用使用者名稱 / 密碼檔案,或您自有的 Java 身分驗證與授權服務 (JAAS) 網域,以身分驗證方式保護您的 JBoss 企業產品的 JMX 主控台。Red Hat 已發佈文章,詳細說明保護 JMX 主控台的方法,請參閱:https://developer.jboss.org/docs/DOC-12190。
您的 JBoss 企業產品的 JMX 主控台可能是在 TCP 連接埠 8080 或 TCP 連接埠 8443 (若您已依照上述說明經由 SSL 保護 JMX 主控台) 上執行。
AWS 建議您將傳入 TCP 連接埠 8080 及 / 或 8443 (或您為 JMX 主控台所選擇的其他連接埠),限制為僅接受合法 JMX 主控台工作階段應有的來源 IP 地址。您可設定您的 EC2 安全群組,以套用這些存取限制。如需適當設定及套用安全群組的資訊與範例,請參照下列文件:http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/index.html?adding-security-group-rules.html。