CVE-2013-4810 は Red Hat JBoss 製品に影響しますか?

問題

HP ProCurve Manager (PCM) において、認証が有効化されていない JMXInvokerServlet および EJBInvokerServlet インターフェイスが露出されていることが見つかりました。リモートアタッカーはこの不具合を攻撃することで、MBean メソッドを呼び出し、PCM サーバーを実行するユーザーのコンテクストで任意のコードを実行することができます。

この不具合の CVE ID (CVE-2013-4810) は、HP ProCurve Manager で認証が有効化されていない JMXInvokerServlet および EJBInvokerServlet インターフェイスが露出されている点についてのみ説明しています。また一方で、サポートされていない過去のコミュニティリリースの JBoss AS (WildFly) 4.x および 5.x においても、これらのサーブレットは認証なしに露出されています。

この不具合に対する攻撃方法が公開されており、この攻撃方法が利用され実際に脆弱性のあるシステムに対する侵害が行われたといういくつかの報告もあります。

環境

サポートされているすべての Red Hat JBoss 製品ではデフォルトで JMXInvokerServlet および EJBInvokerServlet インターフェイスが認証が有効化されているので、この問題による影響を受けません。

JBoss AS (Wildfly) 7.x のコミュニティリリースも、この問題の影響は受けません。

サポートされていない過去のコミュニティリリースの JBoss AS では影響を受ける可能性があります。

解決策

サポートされていない JBoss AS (Wildfly) 4.x および 5.x のコミュニティリリースをお使いの場合は、以下の手順に従って、invoker サーブレットインターフェイスに認証を有効化してください。

https://community.jboss.org/wiki/SecureJboss/

Red Hat では 2012 年前半にこの問題を認識しており、JBoss AS 4.x および 5.x をベースにしたサポート対象の Red Hat JBoss 製品についてはすでに CVE-2012-0874 として問題に対応済みです。