(Un-)Sicherheit des JBoss Application Server
Eine Sicherheitsanalyse des Application-Servers inklusive typischer Fehler bei der Konfiguration und Angriffsszenarien.
JBoss ist ein Baustein der JBoss Enterprise Middleware Suite (JEMS) und einer der verbreitetsten Java-EE-Applicationserver. Das Dokument "Bridging the Gap between the Enterprise and You - Who’s the JBoss now?" beschreibt die Funktionsweise des Servers und welche möglichen Angriffe – auch über das Internet – es auf ihn gibt. Beispielsweise lassen sich Web-Archive-Dateien (WAR) über die addURL-Funktion einbinden, die vom Angreifer definierten Code mit den Rechten des JBoss-Servers ausführen.
Zu kurz kommen leider konkrete Praxistipps und Vorschläge, wie das zu verhindern wäre. Dazu verweisen die Autoren auf weiterführende Literatur wie die frei verfügbare Anleitung "Securing JBoss [1] ".
Patrick Hof, Jens Liebchen: Bridging the Gap between the Enterprise and You (PDF) [2] (dab [3])
URL dieses Artikels:
https://www.heise.de/-878944
Links in diesem Artikel:
[1] https://www.jboss.org/community/wiki/SecureJBoss
[2] http://www.redteam-pentesting.de/publications/2009-06-03-Whitepaper_Whos-the-JBoss-now_RedTeam-Pentesting.pdf
[3] mailto:dab@ct.de
Copyright © 2009 Heise Medien