Comments | ru_java: проблемы безопасности jboss4

jrmm in ru_java

проблемы безопасности jboss4

Mar 31, 2010 09:32

из отчёта внешнего аудита:

The immediate risk of attack and compromise from the Internet is considered high, however, due to one core issue ( Read more... )

web, tomcat

Leave a comment

Back to all threads

scoon_the_crazy March 31 2010, 11:26:49 UTC

А зачем вообще класть war-файлы в каталог, который доступен через web?

jrmm March 31 2010, 11:47:50 UTC

я не понимаю, как он доступен. в апаче не упоминается.
можно ли выйти "вверх" из пределов контекста?

scoon_the_crazy March 31 2010, 12:01:36 UTC

Я тоже не вижу способа достучаться к ним в стандартной конфигурации (панель управления, полагаю, Вы закрыли от внешнего доступа?)

Стало быть, нужно запросить для верификации настроек описание способа, которым они получили доступ к war'ам. Не исключено, что это просто фантазии (в моей практике такое было)

jrmm March 31 2010, 12:04:23 UTC

во первых, внешний доступ там через апач - то есть имена виртуальных хостов фильтруются.
во вторых, в server.xml закомментированы эти приложения, а .war из default/deploy убраны в другой каталог.
может ли быть беда в самом приложении (программеры отпираются)?

еще такой момент. программеры пишут, что исходников в .war нет. правда ли это?

scoon_the_crazy March 31 2010, 12:06:57 UTC

В нормальном war'е исходников быть не должно. Равно как и паролей и т.п. Но суть, собственно, не в этом.

Нужно узнать, как именно они получили доступ.

jrmm March 31 2010, 12:15:23 UTC

а как оно без пароля до базы достучится?

буду пинать. возможно, получится.
спасибо.

scoon_the_crazy March 31 2010, 15:55:19 UTC

DataSource'ы прописываются в соответствующих файлах ВНЕ приложения -- с паролями, логинами и т.п., приложение их использует.

Иногда хочется странного, но нужно это бывает редко.

jrmm April 1 2010, 05:25:20 UTC

нашёл проблему. у меня во время аудита была включена переменная listings.

jboss по урлю http(s)://mysite.ru/deploy/ отдавал список файлов в деплое.
по урлю http(s)://mysite.ru/deploy/app.war отдавал .war

сейчас листинг прикрыл, но по полному пути всё равно отдает .war, я могу попробовать прикрыть данную дырищу на уровне апача, но datasource .xml, лежащие там же, блокировать не удастся (.xml используются на самом сайте).

вообще не понимаю, как девелоперы пропустили такой баг, или это криворучие установщика? сейчас 4.0.5, планирую убрать всё на 5.1 - пока что на виртуалке.

scoon_the_crazy April 1 2010, 07:44:58 UTC

Что мешает закрыть весь deploy?

jrmm April 1 2010, 07:49:22 UTC

я просто не понимаю, где он открыт. в апаче и жбоссе ссылок на этот каталог нет.

в жбоссе 5.1 этого глюка нет, даже нет файла server/default/deploy/jbossweb-tomcat.sar/conf/web.xml

jrmm March 31 2010, 13:16:11 UTC

может быть, эта уязвимость?
https://jira.jboss.org/jira/browse/ASPATCH-126
интересно, в 5.1 ее починили или как.

scoon_the_crazy March 31 2010, 15:58:57 UTC

Если вы открыли для внешнего анонимного доступа веб-консоль, то разговоры о безопасности вообще лишены какого-либо смысла. А если не открыли -- то я не очень понимаю, как использовать JBAS-3861.

jrmm April 1 2010, 05:26:02 UTC

понял, спасибо. всё равно от 4 версии мы отказываемся.
консоли там нет, просто нет таких .war

Back to all threads