java - Java JMX RMI Accessible with Common Credentials 所需的解决方案（未经身份验证的检查）

问题描述

我需要帮助来解决以下漏洞。我们在运行版本 7 和 Java“1.8.0_242”的 tomcat 实例中有这个。它在 1099 端口中被检测到。此 RMI 端口未在任何配置文件中配置为其默认端口，而且我在 setenv.sh 或 server.xml 或 catalina.properties 中没有看到任何与 RMI 相关的配置，我不知道如何禁用此 RMI 端口

在 Dev 中我们也有这个，但是在我们从 setenv.sh 中删除以下条目后，1099 端口没有监听并且漏洞消失了，但是在我们的 prod 环境中，我们根本没有这个条目。

CATALINA_OPTS=-Dcom.sun.management.jmxremote.port=1098 -Dcom.sun.management.jmxremote.ssl=false -Dcom.sun.management.jmxremote.authenticate=true -Dcom.sun.management.jmxremote.password.file =/var/opt/vmware/vfabric-tc-server-standard/inst1/conf/jmxremote.password -Dcom.sun.management.jmxremote.access.file=/var/opt/vmware/vfabric-tc-server-standard /inst1/conf/jmxremote.access

漏洞：

Java JMX 接口可通过以下用户名/密码对访问：admin/password admin/admin admin/activemq monitorRole/QED controlRole/R%26D controlrole/password monitorrole/password cassandra/cassandrapassword monitorRole/tomcat controlRole/tomcat monitorRole/mrpasswd controlRole/crpasswd role1/role1passwd role2/role2passwd role3/role3passwd admin/thisIsSupposedToBeASstrongPassword！QID 检测逻辑（已验证）：
此 QID 尝试使用上述凭据登录 JMX RMI 服务器。

注意：如果远程 JMX RMI 服务器无需身份验证即可访问。以上所有凭据都将发布。

标签： javatomcatrmijmxtcserver