Apache发现远程执行任意代码漏洞,需要尽快升级

发表于:2020-9-15 09:07  作者:TechWeb   来源:新浪科技

字体: | 上一篇 | 下一篇 |我要投稿 | 推荐标签: 漏洞

  Apache HTTP Server(简称Apache)是Apache软件基金会的一个开放源码的网页服务器,可以在大多数计算机操作系统中运行,由于其多平台和安全性被广泛使用,是最流行的Web服务器端软件之一。
  9月10日,Apache软件基金会发布了安全公告更新,修复了Apache ActiveMQ 消息中间件产品爆出的漏洞。以下是漏洞详情:
  漏洞详情
  Apache ActiveMQ是美国阿帕奇(Apache)软件基金会的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等。 Apache ActiveMQ 中存在安全漏洞。
  1.CVE-2020-11998  严重程度:中等
  在提交防止JMX(Java Management Extensions,即Java管理扩展,是一个为应用程序、设备、系统等植入管理功能的框架)重新绑定中引入了回归。通过将空的环境映射传递给RMIConnectorServer,而不是包含身份验证凭据会使ActiveMQ面临以下攻击:
  https://docs.oracle.com/javase/8/docs/technonotes/guides/management/agent.html
  如果没有安全管理,远程客户端可以创建javax.management.加载.MLet MBean和使用它可以从任意url创建新的mbean。也就是说一个恶意的远程客户端可以使Java应用程序执行任意代码。
  受影响产品
  仅影响Apache ActiveMQ 5.15.12 版本
  解决方案
  升级到Apache ActiveMQ 5.15.13可修复
  2. CVE-2020-13920  严重程度:中等
  Apache ActiveMQ使用LocateRegistry.createRegistry()以创建JMX RMI注册并将服务器绑定到“jmxrmi”条目。这是可能的在没有身份验证的情况下连接到注册表并调用重新绑定方法将jmxrmi重新绑定到其他对象。如果攻击者创建另一个服务器代理并绑定原来的对象,那么攻击者则成为一个有效的合法用户连接。
  受影响产品
  5.15.12之前的Apache ActiveMQ版本
  解决方案
  升级到Apache ActiveMQ 5.15.12可修复
  查看更多漏洞信息 以及升级请访问官网:
  http://activemq.apache.org/security-advisories.data/

  上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理

评 论

论坛新帖

顶部 底部


建议使用IE 6.0以上浏览器,800×600以上分辨率,法律顾问:上海瀛东律师事务所 张楠律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2020, 沪ICP备05003035号
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪公网安备 31010102002173号

51Testing官方微信

51Testing官方微博

扫一扫 测试知识全知道