Überprüfen der offenen AJP-Ports (Ghostcat-Sicherheitslücke)

Um einen unbefugten Zugriff zu verhindern, prüfen Sie, ob die AJP-Ports Ihrer ARIS-Installationen nur über Netzwerke zugänglich sind, über die Benutzer auf ARIS zugreifen.

Vorgehen

  1. Starten Sie ARIS Cloud Controller (ACC).

  2. Zum Überprüfen von Ports, die von Runnables verwendet werden, geben Sie Folgendes ein: show node

    Die Liste wird angezeigt. Navigieren Sie zum Abschnitt Known used ports.

    Port Runnable Port Parameter

    443 loadbalancer_m HTTPD.ssl.port Set explicitly

    1080 loadbalancer_m HTTPD.port Set explicitly

    14200 cloudsearch_m zookeeper.application.instance.port Set explicitly

    14201 cloudsearch_m JAVA-DCSHTTPPORT Set explicitly

    14206 cloudsearch_m JAVA-Dcom.sun.management.jmxremote.port Set explicitly

    14220 elastic_m ELASTICSEARCH.http.port Set explicitly

    14226 elastic_m JAVA-Dcom.sun.management.jmxremote.port Set explicitly

    14230* elastic_m ELASTICSEARCH.transport.tcp.port Set explicitly

    14240 postgres_m postgresql.port Set explicitly

    14250 cdf_m connector.http.port Set explicitly

    14251 cdf_m connector.ajp.port Set explicitly

    14256 cdf_m JAVA-Dcom.sun.management.jmxremote.port Set explicitly

    14281 zoo_m clientPort DEFAULT

    14296 zoo_m JAVA-Dcom.sun.management.jmxremote.port Set explicitly

    14400 abs_m connector.http.port Set explicitly

    14401 abs_m connector.ajp.port Set explicitly

    14406 abs_m JAVA-Dcom.sun.management.jmxremote.port Set explicitly

    14410 adsadmin_m connector.http.port Set explicitly

    14411 adsadmin_m connector.ajp.port Set explicitly

    14416 adsadmin_m JAVA-Dcom.sun.management.jmxremote.port Set explicitly

    14420 apg_m connector.http.port Set explicitly

    14421 apg_m connector.ajp.port Set explicitly

    14426 apg_m JAVA-Dcom.sun.management.jmxremote.port Set explicitly

    14430 copernicus_m connector.http.port Set explicitly

    14431 copernicus_m connector.ajp.port Set explicitly

    14436 copernicus_m JAVA-Dcom.sun.management.jmxremote.port Set explicitly

    14440 ecp_m connector.http.port Set explicitly

    14441 ecp_m connector.ajp.port Set explicitly

    14446 ecp_m JAVA-Dcom.sun.management.jmxremote.port Set explicitly

    14450 hds_m connector.http.port Set explicitly

    14451 hds_m connector.ajp.port Set explicitly

    14456 hds_m JAVA-Dcom.sun.management.jmxremote.port Set explicitly

    14460 octopus_m connector.http.port Set explicitly

    14461 octopus_m connector.ajp.port Set explicitly

    14466 octopus_m JAVA-Dcom.sun.management.jmxremote.port Set explicitly

    14470 simulation_m connector.http.port Set explicitly

    14471 simulation_m connector.ajp.port Set explicitly

    14476 simulation_m JAVA-Dcom.sun.management.jmxremote.port Set explicitly

    14480 umcadmin_m connector.http.port Set explicitly

    14481 umcadmin_m connector.ajp.port Set explicitly

    14486 umcadmin_m JAVA-Dcom.sun.management.jmxremote.port Set explicitly

    14490 dashboarding_m connector.http.port Set explicitly

    14491 dashboardging_m connector.ajp.port Set explicitly

    14496 dashboarding_m JAVA-Dcom.sun.management.jmxremote.port Set explicitly

    14497 dashboarding_m JAVA-Xrunjdwp\:transport Set explicitly

    Der markierte Portparameter connector.ajp.port zeigt alle offenen AJP-Ports an.

  3. Wenn auf einen dieser Ports über ein externes Netzwerk zugegriffen werden kann, müssen Sie den Zugriff mithilfe Ihrer Firewall sofort blockieren.

Sie haben das System gesichert.

Wichtig: Wenn Ihr ARIS-System eine Installation mit mehreren Knoten ist, müssen die AJP-Ports geöffnet bleiben, damit ein Datenübertragung zwischen den Knoten stattfinden kann. Diese offenen AJP-Ports stellen keine Sicherheitslücke dar, weil verteilte ARIS-Installationen immer durch eine Firewall geschützt werden müssen.