Instanciateurs de connexions JMS requis [Mise à jour dans Security Center 1.5]

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • La mid.property.jms.command.allowed_factory_names propriété contrôle les instanciateurs de connexions JMS (Java Messaging Service) que le MID Server peut utiliser.

    Il est destiné à quelques usines sélectionnées nécessaires par les plugins pour l’activité ou l’action JMS. L’inclusion d’usines supplémentaires pourrait être une étape dans une chaîne d’attaque pour des vulnérabilités telles que l’insertion JDNI qui reposent sur les capacités qu’un attaquant peut exploiter dans les usines autorisées. Pour éviter la possibilité d’une vulnérabilité exploitée, n’incluez pas les usines au-delà des valeurs par défaut nécessaires.

    Pour remédier à ce risque de sécurité, passez en revue la liste des noms fournie à la propriété mid, mid.property.jms.command.allowed_factory_names. Assurez-vous que tous les noms d’usine Java supplémentaires au-delà de la valeur par défaut de connectionFactory, queueConnectionFactory et topicConnectionFactory sont nécessaires.

    En savoir plus

    Attribut Description
    Nom de la configuration mid.property.jms.command.allowed_factory_names
    Type de configuration Propriétés système (/sys_properties_list.do)
    Type de données chaîne
    Valeur par défaut connectionFactory, queueConnectionFactory, topicConnectionFactory
    Catégorie Contrôle d'accès
    Risque de sécurité
    • Score de gravité : 4,1
    • Score CVSS : moyen
    • Détails du risque de sécurité : Si le module d’extension MID Server (com.glideapp.agent) est actif, passez en revue la liste des noms fournie à la propriété mid.property.jms.command.allowed_factory_namesmid . Assurez-vous que tous les noms d’usine supplémentaires au-delà de la valeur par défaut de connectionFactory, queueConnectionFactory et topicConnectionFactory sont nécessaires.
    Dépendances et prérequis Aucun