您的需求已经提交,我们将在48小时内联系您
全国服务热线:400-1000-221
确定
试用申请
请填写真实的企业信息,方便我们尽快了解您的企业安全需求。

*公司名称

*所在行业

*联系人

QQ

*联系电话

您的需求
私有云产品
云垒 立体式私有云安全纵深防御平台
云眼 新一代(云)主机入侵监测及安全管理系统
啸天 网络安全态势感知
云固 新一代网页防篡改系统
云御 新一代网站应用防御系统
云网 补丁管理系统
公有云产品
云磐 立体式公有云安全纵深防御平台
安全云主机
高级服务
抗DDoS云服务
高级渗透测试服务
攻击取证与溯源分析服务
信息安全等级保护服务
重大活动安保服务
勒索病毒防护
区块链安全
其他需求
*验证码
{{message}}
试用申请
CVE-2020-11998 | Apache ActiveMQ远程代码执行漏洞通告

0x00 漏洞概述

CVE  ID

CVE-2020-11998

时   间

2020-09-14

类   型

 

等   级

中危

远程利用

影响范围

仅Apache ActiveMQ 5.15.12版本。


  2020年09月10日,Apache软件基金会公布ActiveMQ消息中间件中存在一个安全漏洞,漏洞跟踪为CVE-2020-11998。攻击者可利用该漏洞执行任意代码。

 

0x01 漏洞详情

 

Apache ActiveMQ是Apache软件基金会的一个开源项目,它是一个基于消息的通信中间件,并支持Java消息服务、集群、Spring Framework等。

ActiveMQ是JMS的一个具体实现,支持JMS的两种消息模型。它遵循JMS1.1规范(Java Message Service),是消息驱动中间件软件(MOM)。它为企业消息传递提供高可用、出色性能、可扩展、稳定和安全保障。

ActiveMQ使用Apache许可协议。因此,任何人都可以使用和修改它而不必反馈任何改变。这对于商业上将ActiveMQ用在重要用途的人尤为关键。ActiveMQ的目标是在尽可能多的平台和语言上提供一个标准的,消息驱动的应用集成。

CVE-2020-11998漏洞形成的原因为:

1.  在提交防止JMX(Java Management Extensions,即Java管理扩展,是一个为应用程序、设备、系统等植入管理功能的框架)重新绑定中引入了regression。

2.  将一个空的环境映射而不是包含身份验证凭据的映射传递到RMIConnectorServer会使得ActiveMQ容易受到以下攻击:

https://docs.oracle.com/javase/8/docs/technotes/guides/management/agent.html。

3.  在没有安全管理器的情况下,远程客户端可以创建一个javax.management.loading.MLet MBean,并使用它从任意URL创建新的MBean,这可能会导致恶意的远程客户端使用Java应用程序执行任意代码。

 

0x02 处置建议

目前Apache官方已发布安全更新,建议升级到Apache ActiveMQ 5.15.13版本。

下载链接:

http://activemq.apache.org/activemq-51513-release

 

0x03 相关新闻

https://www.secfree.com/vul-150408.html

 

0x04 参考链接

http://activemq.apache.org/security-advisories.data/CVE-2020-11998-announcement.txt

https://nvd.nist.gov/vuln/detail/CVE-2020-11998

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11998

 

0x05 时间线

2020-09-10 Apache发布安全公告

2020-09-14 VSRC发布安全通告