【風(fēng)險(xiǎn)通告】Apache ActiveMQ遠(yuǎn)程代碼執(zhí)行漏洞
2020-09-15 00:00:00
近日,金山云安全應(yīng)急響應(yīng)中心監(jiān)測(cè)到Apache官方發(fā)布安全更新�����,修復(fù)了ActiveMQ 的一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞CVE-2020-13920�。
該漏洞影響范圍廣,請(qǐng)相關(guān)用戶及時(shí)自查并采取防護(hù)措施����,避免遭受損失�����。
漏洞描述
Apache ActiveMQ是目前流行的開(kāi)源�����、多協(xié)議����,基于Java的消息服務(wù)器����。因其速度快��、支持眾多跨語(yǔ)言平臺(tái)和協(xié)議����、企業(yè)集成模式易用性高等特性,被廣泛使用�。
pache ActiveMQ使用LocateRegistry.createRegistry()創(chuàng)建JMX RMI注冊(cè)表并將服務(wù)器綁定到“jmxrmi”條目。但上述這一綁定操作未進(jìn)行身份驗(yàn)證��。如果攻擊者創(chuàng)建了另一臺(tái)服務(wù)器來(lái)代理原始服務(wù)器并對(duì)其進(jìn)行綁定�,就能夠在用戶使用時(shí)攔截身份認(rèn)證憑據(jù)成為合法用戶,從而進(jìn)行遠(yuǎn)程代碼執(zhí)行�����。
風(fēng)險(xiǎn)等級(jí)
中危
影響版本
Apache ActiveMQ< 5.15.12
修復(fù)建議
官方已經(jīng)發(fā)布安全更新����,建議受影響的用戶盡快升級(jí)到5.15.13版本
http://activemq.apache.org/activemq-51513-release
參考鏈接
[1] https://nvd.nist.gov/vuln/detail/CVE-2020-13920
[2] http://activemq.apache.org/
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2020/09/15