首頁 > 安全研究 > 安全通報 > 安全通告

CVE-2020-11998 | Apache ActiveMQ遠程代碼執行漏洞

發布時間 2020-09-14

0x00 漏洞概述

CVE   ID

CVE-2020-11998

   

2020-09-14

   

遠程代碼執行

   級

中危

遠程利用

影響范圍

Apache ActiveMQ 5.15.12版本。

    

    2020年09月10日,Apache軟件基金會公布ActiveMQ消息中間件中存在一個安全漏洞,漏洞跟蹤為CVE-2020-11998。攻擊者可利用該漏洞執行任意代碼。


0x01 漏洞詳情

image.png


    Apache ActiveMQ是Apache軟件基金會的一個開源項目,它是一個基于消息的通信中間件,并支持Java消息服務、集群、Spring Framework等。

    ActiveMQ是JMS的一個具體實現,支持JMS的兩種消息模型。它遵循JMS1.1規范(Java Message Service),是消息驅動中間件軟件(MOM)。它為企業消息傳遞提供高可用、出色性能、可擴展、穩定和安全保障。

    ActiveMQ使用Apache許可協議。因此,任何人都可以使用和修改它而不必反饋任何改變。這對于商業上將ActiveMQ用在重要用途的人尤為關鍵。ActiveMQ的目標是在盡可能多的平臺和語言上提供一個標準的,消息驅動的應用集成。

    CVE-2020-11998漏洞形成的原因為:

    1. 在提交防止JMX(Java Management Extensions,即Java管理擴展,是一個為應用程序、設備、系統等植入管理功能的框架)重新綁定中引入了regression。

    2. 將一個空的環境映射而不是包含身份驗證憑據的映射傳遞到RMIConnectorServer會使得ActiveMQ容易受到以下攻擊:

    https://docs.oracle.com/javase/8/docs/technotes/guides/management/agent.html。

    3. 在沒有安全管理器的情況下,遠程客戶端可以創建一個javax.management.loading.MLet MBean,并使用它從任意URL創建新的MBean,這可能會導致惡意的遠程客戶端使用Java應用程序執行任意代碼。

0x02 處置建議

    目前Apache官方已發布安全更新,建議升級到Apache ActiveMQ 5.15.13版本。

    下載鏈接:

    http://activemq.apache.org/activemq-51513-release

0x03 相關新聞

    https://www.secfree.com/vul-150408.html

 

0x04 參考鏈接

    http://activemq.apache.org/security-advisories.data/CVE-2020-11998-announcement.txt

    https://nvd.nist.gov/vuln/detail/CVE-2020-11998

    https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11998

0x05 時間線

    2020-09-10 Apache發布安全公告

    2020-09-14 VSRC發布安全通告



image.png

上一篇 下一篇