2014-07-31: 细节已通知厂商并且等待厂商处理中
2014-08-05: 厂商已经主动忽略漏洞,细节向公众公开
未对jboss的invoker进行正确的权限设置,导致认证绕过
http://dapei.mo.vancl.com/invoker/JMXInvokerServlet
jboss本身的漏洞,即使限制了jmx-console、web-console、admin-console,仍然有可能导致远程命令执行
1、删除commons-collections-*.jar中的三个文件
\org\apache\commons\collections\functors\InvokerTransformer.class
\org\apache\commons\collections\functors\InstantiateFactory.class
\org\apache\commons\collections\functors\InstantiateTransfromer.class
2.删除$JBOSS_HOME/[server]/all/deploy 和 $JBOSS_HOME/[server]/default/deploy下的
Jmx-console.war、Web-console.war两个文件夹
终极处理方法:我只会暴力的 删除 server/default/deploy/http-invoker.sar
原文:http://www.cnblogs.com/lianghl/p/5218236.html