近日,Apache ActiveMQ披露出未授权访问漏洞,漏洞编号CVE-2021-26117,可造成LDAP未授权访问。
漏洞详情
Apache ActiveMQ是Apache软件基金会所研发的开放源码消息中间件。
官方公告称ActiveMQ LDAP登录模块可被配置为使用匿名访问。在这种情况下,远程攻击者在只提供有效的用户名时,无需提供密码,即可获得对系统的未授权访问。
风险等级
高
漏洞风险
攻击者可通过该漏洞未授权登陆相关系统获取敏感信息
影响版本
Apache ActiveMQ Artemis < 2.16.0
Apache ActiveMQ < 5.16.1
Apache ActiveMQ < 5.15.14
安全版本
Apache ActiveMQ Artemis >= 2.16.0
Apache ActiveMQ >= 5.16.1
Apache ActiveMQ >= 5.15.14
修复建议
请检查所使用的软件版本是否受影响,并从官方渠道升级到安全版本或更新版本
ActiveMQ官方网站:
【备注】:建议您在升级前做好数据备份工作,避免出现意外
漏洞参考
http://activemq.apache.org/security-advisories.data/CVE-2021-26117-announcement.txt