您知道如何修复此安全漏洞吗?可通过以下用户名/密码对访问Java JMX接口:admin/密码admin/admin admin/activemq监视器角色/QED控制角色/R%26D控制角色/密码监视器角色/密码cassandra/cassandra密码监视器角色/tomcat控制角色/tomcat监视器角色/mrpasswd控制角色角色/crpasswd角色1/角色1密码角色2/角色2密码角色3/角色3密码admin/thisIsSupposedToAStrong密码!QID检测逻辑(已验证):此QID尝试使用上述身份证明登录JMX RMI服务器。注意:如果可以在不进行身份验证的情况下访问远程JMX RMI服务器,则将发布上述所有身份证明。
这个问题的修复提到了更改公共密码,但不确定具体位置和是否正确。欢迎提供任何指导
1条答案
按热度按时间x759pob21#
您可以使用JAVA控制台(jconsole.jar或jcnsole.exe)或Java使命Control来验证是否可以使用Qualys列出的默认密码之一进行连接,或者根本不需要任何凭据。
以下是有关如何从Oracle保护JMX的说明:https://docs.oracle.com/javadb/10.10.1.2/adminguide/radminjmxenablepwd.html
下面介绍如何使用密码和SSL启用JMX:https://docs.oracle.com/javadb/10.10.1.2/adminguide/radminjmxenablepwdssl.html
您可能需要与您的特定供应商合作,了解如何针对您的特定配置解决此问题,但以下是另一家特定供应商建议的解决方法:https://support.datastax.com/hc/en-us/articles/204226179-Step-by-step-instructions-for-securing-JMX-authentication-for-nodetool-utility-OpsCenter-and-JConsole