JBoss 4 ve 5 Güvenlik Açığını Engellemek İçin EJBInvokerServlet ve JMXInvokerServlet'in Kaldırılması Gerekir

JBoss 4 ve 5 de , güvenlik açığı oluşmaması için invoker.war içindeki EJBInvokerServlet ve JMXInvokerServlet'in kapatılması gerekir. Kapatılması için aşağıdaki klasörde bulunan invoker.war değiştirilir :


[jboss_klasörü]\server\default\deploy\http-invoker.sar\invoker.war


Bu klasör içinde WEB-INF/web.xml dosyası içinde aşağıdaki bölümlerin silinmesi gerekir :

  JMXInvokerServlet
  The JMXInvokerServlet receives posts containing serlized
    MarshalledInvocation objects that are routed to the invoker given by
    the the MBean whose object name hash is specified by the
    invocation.getObjectName() value. The return content is a serialized
    MarshalledValue containg the return value of the inovocation, or any
    exception that may have been thrown.
  
  org.jboss.invocation.http.servlet.InvokerServlet
  1


	EJBInvokerServlet
	The EJBInvokerServlet receives posts containing serlized
	MarshalledInvocation objects that are routed to the EJB invoker given by
	the invokerName init-param. The return content is a serialized
	MarshalledValue containg the return value of the inovocation, or any
	exception that may have been thrown.
	
	org.jboss.invocation.http.servlet.InvokerServlet
	
		invokerName
		jboss:service=invoker,type=http
		The RMI/HTTP EJB compatible invoker
	
	1


  JMXInvokerServlet
  /JMXInvokerServlet/*
 

  JMXInvokerServlet
  /readonly/JMXInvokerServlet/*


        EJBInvokerServlet
        /EJBInvokerServlet/*