監査チームは、JMXInvokerサーブレットのセキュリティアクセスに関する懸念を以下に提起しました。
「テスト中に、脆弱性スキャンを実行し、JMXInvokerSerletへの認証を必要としないJbossサーバーを特定しました。サーバーに任意のJSPページをアップロードして実行するために、これを悪用できる可能性があります。この脆弱性を悪用することはできませんでした。 「」
誰かが「 http:// ServerName:8080 / invoker / JMXInvokerServlet」を安全にして、誰も不正アクセスできないようにするための解決策を提案するのを手伝ってくれませんか。
JMXInvokerServlet への不正アクセスをブロックするには、ファイアウォールでインターネットへのルールを設定して、URL http:///invoker/JMXInvokerServlet へのアクセスをブロックすることをお勧めします。一部の内部ツールを実行するには、JMXInvokerServlet へのアクセスが必要であるため、ネットワークのエッジでブロックしても、ユーザーはインターネットからの悪意のあるアクセスをブロックしながら、イントラネットまたは VPN 接続を介してローカル ツールを実行できます。
ローカル アプリケーションによるアクセスが問題にならない場合は、次の Web ページの指示に従います (ページのほぼ中間、サブタイトル「JMX インボーカーを保護する」)。