界: Security Features
ソフトウェアのセキュリティは、セキュリティ ソフトウェアではありません。ここでは、認証、アクセス制御、機密性、暗号化、権限管理などのトピックについて説明します。
Spring Boot Misconfiguration: Admin MBean Enabled
Abstract
Spring Boot アプリケーションは、管理 MBean を公開するように設定されています。
Explanation
Spring Boot は、開発者が、
注:CVE-2016-3427 (2016 年 4 月の Java 8 Update 91 で修正) に対して脆弱な JRE バージョンを使用している場合、攻撃者がシリアライズされた Java オブジェクトを資格情報として渡し、それをリモートの JVM がデシリアライズするときに、任意のコードが実行されてしまうことがあります。
spring.application.admin.enabled プロパティを指定してアプリケーションの管理関連機能を有効にすることを許可します。これにより、プラットフォーム MBeanServer で SpringApplicationAdminMXBean が公開されます。開発者は、この機能を使用して Spring Boot アプリケーションをリモート管理できますが、この機能はリモート JMX エンドポイントという形式で、攻撃可能な領域を増やします。MBeanServer の設定によっては、MBean をローカルまたはリモートで公開でき、認証が必須かどうかも変わります。最悪の場合、攻撃者は、認証なしでアプリケーションをシャットダウンするなど、アプリケーションをリモートから管理できます。最良の場合、サービスは、サーバーの保護に使用される資格情報と同じくらい強力になります。注:CVE-2016-3427 (2016 年 4 月の Java 8 Update 91 で修正) に対して脆弱な JRE バージョンを使用している場合、攻撃者がシリアライズされた Java オブジェクトを資格情報として渡し、それをリモートの JVM がデシリアライズするときに、任意のコードが実行されてしまうことがあります。
References
[1] Spring Boot Reference Guide Spring
[2] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data
[3] Standards Mapping - OWASP API 2023 API8 Security Misconfiguration
[4] Standards Mapping - OWASP Mobile 2014 M1 Weak Server Side Controls
[5] Standards Mapping - OWASP Top 10 2010 A6 Security Misconfiguration
[6] Standards Mapping - OWASP Top 10 2013 A5 Security Misconfiguration
[7] Standards Mapping - OWASP Top 10 2017 A6 Security Misconfiguration
[8] Standards Mapping - OWASP Top 10 2021 A05 Security Misconfiguration
[9] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 7.3.1
[10] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 7.3.1
[11] Standards Mapping - Web Application Security Consortium Version 2.00 Application Misconfiguration (WASC-15)
desc.config.java.spring_boot_misconfiguration_admin_mbean_enabled