проблемы безопасности jboss4

[jrmm]

из отчёта внешнего аудита:

The immediate risk of attack and compromise from the Internet is considered high, however, due to one core issue:
• The web/application server is miss-configured to allow anonymous users to view directory listings that contain web archives (WAR files) for all web applications hosted on the server. This vulnerability exposes source code, database credentials, and configuration files.

как такое может быть? в конфигурации jboss спрятан за апачем. в самом апаче каталог с .war не упоминается.
пожалуйста, поделитесь ссылочкой, как выключить на jboss листинг .war и как собственно увидеть этот листинг.

PS. переменную listings в server/default/deploy/jbossweb-tomcat55.sar/conf/web.xml подкрутил. но по-моему, это не то.
PS2. admin-console в системе нет (.war из деплоя убрали).