尊龙凯时

首页 > 清静研究 > 清静转达 > 清静通告

CVE-2020-11998 | Apache ActiveMQ远程代码执行误差

宣布时间 2020-09-14

0x00 误差概述

CVE ID	CVE-2020-11998	时间	2020-09-14
类型	远程代码执行	等级	中危
远程使用	是	影响规模	仅Apache ActiveMQ 5.15.12版本。

2020年09月10日，Apache软件基金会宣布ActiveMQ新闻中心件中保存一个清静误差，误差跟踪为CVE-2020-11998。攻击者可使用该误差执行恣意代码。

0x01 误差详情

Apache ActiveMQ是Apache软件基金会的一个开源项目，它是一个基于新闻的通讯中心件，并支持Java新闻服务、集群、Spring Framework等。

ActiveMQ是JMS的一个详细实现，支持JMS的两种新闻模子。它遵照JMS1.1规范（Java Message Service），是新闻驱动中心件软件（MOM）。它为企业新闻转达提供高可用、精彩性能、可扩展、稳固和清静包管。

ActiveMQ使用Apache允许协议。因此，任何人都可以使用和修改它而不必反响任何改变。这关于商业上将ActiveMQ用在主要用途的人尤为要害。ActiveMQ的目的是在尽可能多的平台和语言上提供一个标准的，新闻驱动的应用集成。

CVE-2020-11998误差形成的原由于：

1. 在提交避免JMX(Java Management Extensions，即Java治理扩展,是一个为应用程序、装备、系统等植入治理功效的框架)重新绑定中引入了regression。

2. 将一个空的情形映射而不是包括身份验证凭证的映射转达到RMIConnectorServer会使得ActiveMQ容易受到以下攻击：

https://docs.oracle.com/javase/8/docs/technotes/guides/management/agent.html。

3. 在没有清静治理器的情形下，远程客户端可以建设一个javax.management.loading.MLet MBean，并使用它从恣意URL建设新的MBean，这可能会导致恶意的远程客户端使用Java应用程序执行恣意代码。

0x02 处置惩罚建议

现在Apache官方已宣布清静更新，建议升级到Apache ActiveMQ 5.15.13版本。

下载链接：

http://activemq.apache.org/activemq-51513-release

0x03 相关新闻

https://www.secfree.com/vul-150408.html

0x04 参考链接

http://activemq.apache.org/security-advisories.data/CVE-2020-11998-announcement.txt

https://nvd.nist.gov/vuln/detail/CVE-2020-11998

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11998

0x05 时间线

2020-09-10 Apache宣布清静通告

2020-09-14 VSRC宣布清静通告

上一篇下一篇

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 尊龙凯时版权所有京ICP备05032414号京公网安备11010802024551号