质量为本、客户为根、勇于拼搏、务实创新

< 返回新闻公共列表

cve-2020-11998 | apache activemq远程代码执行漏洞通告

发布时间:2020-09-21 10:33:13

0x00 漏洞概述

cve  id

cve-2020-11998

时   间

2020-09-14

类   型


等   级

中危

远程利用

影响范围

仅apache activemq 5.15.12版本。


  2020年09月10日,apache软件基金会公布activemq消息中间件中存在一个安全漏洞,漏洞跟踪为cve-2020-11998。攻击者可利用该漏洞执行任意代码。

 

0x01 漏洞详情 

apache activemq是apache软件基金会的一个开源项目,它是一个基于消息的通信中间件,并支持java消息服务、集群、spring framework等。

activemq是jms的一个具体实现,支持jms的两种消息模型。它遵循jms1.1规范(java message service),是消息驱动中间件软件(mom)。它为企业消息传递提供高可用、出色性能、可扩展、稳定和安全保障。

activemq使用apache许可协议。因此,任何人都可以使用和修改它而不必反馈任何改变。这对于商业上将activemq用在重要用途的人尤为关键。activemq的目标是在尽可能多的平台和语言上提供一个标准的,消息驱动的应用集成。

cve-2020-11998漏洞形成的原因为:

1.  在提交防止jmx(java management extensions,即java管理扩展,是一个为应用程序、设备、系统等植入管理功能的框架)重新绑定中引入了regression。

2.  将一个空的环境映射而不是包含身份验证凭据的映射传递到rmiconnectorserver会使得activemq容易受到以下攻击:  

3.  在没有安全管理器的情况下,远程客户端可以创建一个javax.management.loading.mlet mbean,并使用它从任意url创建新的mbean,这可能会导致恶意的远程客户端使用java应用程序执行任意代码。

 

0x02 处置建议

目前apache官方已发布安全更新,建议升级到apache activemq 5.15.13版本。

下载链接:

 

 

0x03 相关新闻

 

 

0x04 参考链接

 

0x05 时间线

2020-09-10 apache发布安全公告

2020-09-14 vsrc发布安全通告



文章来源:http://www.safedog.cn/news.html?id=4409


/template/home/zkeys/pc/static