cve id | cve-2020-11998 | 时 间 | 2020-09-14 |
类 型 | 等 级 | 中危 | |
远程利用 | 是 | 影响范围 | 仅apache activemq 5.15.12版本。 |
2020年09月10日,apache软件基金会公布activemq消息中间件中存在一个安全漏洞,漏洞跟踪为cve-2020-11998。攻击者可利用该漏洞执行任意代码。
apache activemq是apache软件基金会的一个开源项目,它是一个基于消息的通信中间件,并支持java消息服务、集群、spring framework等。
activemq是jms的一个具体实现,支持jms的两种消息模型。它遵循jms1.1规范(java message service),是消息驱动中间件软件(mom)。它为企业消息传递提供高可用、出色性能、可扩展、稳定和安全保障。
activemq使用apache许可协议。因此,任何人都可以使用和修改它而不必反馈任何改变。这对于商业上将activemq用在重要用途的人尤为关键。activemq的目标是在尽可能多的平台和语言上提供一个标准的,消息驱动的应用集成。
cve-2020-11998漏洞形成的原因为:
1. 在提交防止jmx(java management extensions,即java管理扩展,是一个为应用程序、设备、系统等植入管理功能的框架)重新绑定中引入了regression。
2. 将一个空的环境映射而不是包含身份验证凭据的映射传递到rmiconnectorserver会使得activemq容易受到以下攻击:
3. 在没有安全管理器的情况下,远程客户端可以创建一个javax.management.loading.mlet mbean,并使用它从任意url创建新的mbean,这可能会导致恶意的远程客户端使用java应用程序执行任意代码。
目前apache官方已发布安全更新,建议升级到apache activemq 5.15.13版本。
下载链接:
2020-09-10 apache发布安全公告
2020-09-14 vsrc发布安全通告
文章来源:http://www.safedog.cn/news.html?id=4409
依蓝云计算有限公司
网络版捕鱼游戏 copyright © 2006-2020 uyl.cn. all rights reserved. 依蓝云 真人捕鱼游戏的版权所有