RMI反序列化漏洞


接到公司安全组提的漏洞单,说部分Java机器开了jmxremote端口,存在安全隐患。

查了下原来有不少Java服务默认开启了非安全模式的jmxremote端口。

修复(降低风险)方案有如下几种方式:

  1. 使用SerialKiller,详细的在RMI反序列化漏洞文章中有介绍,略复杂
  2. 对于jmxremote没有强依赖的服务,可以直接禁用jmxremote端口,删除相关配置项
  3. 授权访问:配置认证密码或者ssl,或者配置ip白名单 -Dcom.sun.management.jmxremote.host=serverXXX

关于RMI反序列化漏洞的介绍:
http://blog.nsfocus.net/java-deserialization-vulnerability-overlooked-mass-destruction/
关于JMX配置的一些介绍:
https://docs.oracle.com/javase/7/docs/technotes/guides/management/agent.html
https://docs.oracle.com/javase/8/docs/technotes/guides/management/agent.html