Как исправить Java JMX RMI Доступно без учетных данных

Question

Есть идеи, как исправить эту уязвимость безопасности? Java Интерфейс JMX доступен через следующие пары имя пользователя / пароль: admin / пароль admin / admin admin / activemq monitorRole / QED controlRole / R% 26D controlrole / пароль monitorrole / пароль cassandra / cassandrapassword monitorRole / tomcat controlRole / tomcat monitorRole / mrpasswd controlRole / crpasswd role1 / role1passwd role2 / role2passwd role3 / role3passwd admin / thisIsSuppposedToBeAStrongPassword! QID Detection Logi c (с проверкой подлинности): этот QID пытается войти на сервер JMX RMI, используя вышеуказанные учетные данные. Примечание: если удаленный сервер JMX RMI доступен без аутентификации. будут опубликованы все вышеперечисленные учетные данные.

исправлено упоминание об изменении общего пароля, но не уверен, где именно, и если это правильный путь. Любое руководство ценится

Answer 1

Вы можете использовать JAVA Консоль (jconsole.jar или jcnsole.exe) или Java Mission Control, чтобы проверить, можете ли вы подключиться к одному из паролей по умолчанию, указанных в Qualys, или вообще не вводить учетные данные.

Вот инструкции о том, как защитить JMX от Oracle: https://docs.oracle.com/javadb/10.10.1.2/adminguide/radminjmxenablepwd.html

Вот как включить JMX с паролем и SSL: https://docs.oracle.com/javadb/10.10.1.2/adminguide/radminjmxenablepwdssl.html

Возможно, вам придется поработать с вашим конкретным c поставщиком, чтобы решить эту проблему для вашей конкретной c конфигурации, но вот как другой конкретный поставщик рекомендует обратиться к нему: https://support.datastax.com/hc/en-us/articles/204226179-Step-by-step-instructions-for-securing-JMX-authentication-for-nodetool-utility-OpsCenter-and-JConsole