任何想法如何解决此安全漏洞?可通过以下用户名/密码对访问Java JMX接口:admin / password admin / admin admin / activemq monitorRole / QED controlRole / R%26D controlrole / password monitorrole / password cassandra / cassandrapassword monitorRole / tomcat controlRole / tomcat monitorRole / mrpasswd controlRole / crpasswd角色1 / role1passwd角色2 / role2passwd角色3 / role3passwd admin / thisIsSupposedToBeAStrongPassword! QID检测逻辑(已认证):该QID尝试使用上述凭据登录JMX RMI服务器。注意:如果远程JMX RMI服务器无需身份验证即可访问。以上所有凭证都将发布。
此修复程序提到更改普通密码,但不确定确切的位置以及是否正确的方法。任何指导表示赞赏
您可以使用JAVA控制台(jconsole.jar或jcnsole.exe)或Java Mission Control来验证您是否可以使用Qualys列出的默认密码之一进行连接,或者完全不使用任何凭据。
以下是有关如何从Oracle保护JMX的说明:https://docs.oracle.com/javadb/10.10.1.2/adminguide/radminjmxenablepwd.html
有关如何使用密码和SSL启用JMX:https://docs.oracle.com/javadb/10.10.1.2/adminguide/radminjmxenablepwdssl.html
您可能需要与您的特定供应商合作,以了解如何针对您的特定配置解决此问题,但这是另一特定供应商建议的解决方法:https://support.datastax.com/hc/en-us/articles/204226179-Step-by-step-instructions-for-securing-JMX-authentication-for-nodetool-utility-OpsCenter-and-JConsole