WebSphere MQ 安全性炙手可热

核心提示： 演讲的开始部分和我在 IMPACT 和 Transaction and Messaging 大会上的演讲非常相似，他讨论了默认通道以及如何利用这些通道，WebSphere MQ 安全性炙手可热(2)，讨论了命令服务器、触发监视器以及初始队列，但随后他讨论了我们所不知道的一些东西，我们所接触到的大

演讲的开始部分和我在 IMPACT 和 Transaction and Messaging 大会上的演讲非常相似。他讨论了默认通道以及如何利用这些通道，讨论了命令服务器、触发监视器以及初始队列。但随后他讨论了我们所不知道的一些东西。

在他的研究中，Ruks 先生发现了一个方法，可通过此方法使用管理权限启动客户端通道，即使使用了安全出口和硬编码 MCAUSER 对其进行了保护也可行。值得赞赏的是，他公开了漏洞，但并没有说明如何利用此漏洞的具体细节（虽然我有个想法，但我自己可能只是到场的缺少此说明信息而无法了解进一步工作的少数人之一）。

尽管您可能对安全漏洞在“黑客会议”上曝光而感到有些不舒服（您应该有这样的感觉），但如果知道在此次会议之前 IBM 就已经知道了这个问题，这应该会让您感到有几分安慰。另一个安全研究团队（National Australia Bank 的独立团队）发现了 Ruks 所说的相同漏洞，而事实上，IBM 认可是这个团队最先发现此问题。早在 Def Con 之前，这两个团队都已经将其发现报告给了 IBM，而且 IBM 于 8 月 6 日发布了相关的修复程序。

这些究竟意味着什么呢？Def Con 专题会议讨论的是入侵 WebSphere MQ 还是对其进行保护？最终看来，答案是，公开漏洞可以带来更好的安全性。这样会让提供商集中精力进行持续改进，而且让软件用户知道仅保护明显的漏洞并不够。通过独立安全咨询师和客户的反馈可以得到更安全和可靠的产品——但只有启用了才能实现此目标。正如 Ruks 先生和我在演讲中都指出的一样，我们所接触到的大部分公司都启用了 WebSphere MQ 安全性——而这正是我希望在这里讨论的问题。

本文剩下的部分将说明如何使用上面提到的 WebSphere MQ 通道更新您的安装，并提供用于保证队列安全的其他步骤。