报复打击者正积极操纵一个已知缝隙粉碎JBoss Java EE利用办事器的数据安然，这些利用办事器以非安然编制向互联网曝露了HTTP调用办事。

　　十月初，安然研究员在多家厂商利用4.X和5.X JBoss的产品中发现了一个缝隙并将之发布。黑客可以操纵该缝隙(CVE-2013-4810)在曝露了EJBInvokerServlet或JMXInvokerServlet上JBoss摆设上安装一个肆意利用。

　　该研究员操纵该缝隙安装了一个名改成pwn.jsp的Web Shell利用，该利用可经由过程HTTP要求在把持系统上履行Shell号令。可以经由过程OS的用户身份许可从而运行JBoss，而在一些JBoss摆设案例中，乃至可以具有较高的权限，如治理员。

　　同时来自另外一家安然公司的研究员比来检测到针对JBoss办事器的报复打击有所增加，这些报复打击操纵Micalizzi所说的缝隙安装了原始的pwn.jsp shell，不但如斯还有更复杂的名为JspSpy的 Web Shell。

　　在JBoss办事器上运行的200多个站点，包含那些附属于当局和大年夜学的站点，都被这些Web Shell利用进侵和传染。

　　实际环境更加严重，因为安然员所指的缝隙源自不服安的默许建设，这些建设使得JBoss治理界面和调用法度透露在未经验证的报复打击之下，这一标题问题已存在多年了。

　　2011年，在一份关于JBoss因安装不当被黑的陈述中，Matasano Security的安然研究员在谷歌搜刮的根本上估计约有7300台有暗藏缝隙办事器。

　　据业浑家士流露，治理界面透露到互联网的JBoss数量翻了三倍，达到了23000。这类增加的启事之一或许是人们完全部会与此标题问题相干的风险，不外却一向以不服安的编制摆设安装JBoss。

　　由IT厂商的软件缝隙激发的数据安然标题问题将成为此后信息安然的主流隐患。同时伴随互联网的普及，危险的传播速度和数量也将不竭进步。面对这类环境，对敏感和奥秘数据采取更具针对性的加密软件进行防护或是或是一种不错的选择。