【问题标题】:How to fix Java JMX RMI Accessible without Credentials如何修复 Java JMX RMI Accessible without Credentials
【发布时间】:2020-03-05 03:45:44
【问题描述】:

知道如何修复这个安全漏洞吗? Java JMX 接口可通过以下用户名/密码对访问:admin/password admin/admin admin/activemq monitorRole/QED controlRole/R%26D controlrole/password monitorrole/password cassandra/cassandrapassword monitorRole/tomcat controlRole/tomcat monitorRole/mrpasswd controlRole/crpasswd role1/role1passwd role2/role2passwd role3/role3passwd admin/thisIsSupposedToBeASstrongPassword! QID 检测逻辑(已认证): 此 QID 尝试使用上述凭据登录 JMX RMI 服务器。注意:如果远程 JMX RMI 服务器无需身份验证即可访问。以上所有凭据都会发布。

解决此问题以更改通用密码,但不确定具体在哪里以及这是否正确。任何指导表示赞赏

【问题讨论】:

    标签: java jmx


    【解决方案1】:

    您可以使用 JAVA 控制台(jconsole.jar 或 jcnsole.exe)或 Java Mission Control 来验证您是否可以使用 Qualys 列出的默认密码之一或根本没有任何凭据进行连接。

    以下是有关如何从 Oracle 保护 JMX 的说明: https://docs.oracle.com/javadb/10.10.1.2/adminguide/radminjmxenablepwd.html

    以下是使用密码和 SSL 启用 JMX 的方法: https://docs.oracle.com/javadb/10.10.1.2/adminguide/radminjmxenablepwdssl.html

    您可能需要与您的特定供应商合作,了解如何针对您的特定配置解决此问题,但以下是其他特定供应商建议的解决方法: https://support.datastax.com/hc/en-us/articles/204226179-Step-by-step-instructions-for-securing-JMX-authentication-for-nodetool-utility-OpsCenter-and-JConsole

    【讨论】:

      猜你喜欢
      • 2016-09-17
      • 1970-01-01
      • 2011-07-03
      • 2022-01-15
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2016-02-18
      相关资源
      最近更新 更多