凯时K66

首页 > 清静研究 > 清静转达 > 清静通告

CVE-2020-11998 | Apache ActiveMQ远程代码执行误差

宣布时间 2020-09-14

0x00 误差概述

CVE ID	CVE-2020-11998	时间	2020-09-14
类型	远程代码执行	等级	中危
远程使用	是	影响规模	仅Apache ActiveMQ 5.15.12版本。。。。。。。

2020年09月10日，，，Apache软件基金会宣布ActiveMQ新闻中心件中保存一个清静误差，，，误差跟踪为CVE-2020-11998。。。。。。。攻击者可使用该误差执行恣意代码。。。。。。。

0x01 误差详情

Apache ActiveMQ是Apache软件基金会的一个开源项目，，，它是一个基于新闻的通讯中心件，，，并支持Java新闻效劳、集群、Spring Framework等。。。。。。。

ActiveMQ是JMS的一个详细实现，，，支持JMS的两种新闻模子。。。。。。。它遵照JMS1.1规范（Java Message Service），，，是新闻驱动中心件软件（MOM）。。。。。。。它为企业新闻转达提供高可用、精彩性能、可扩展、稳固和清静包管。。。。。。。

ActiveMQ使用Apache允许协议。。。。。。。因此，，，任何人都可以使用和修改它而不必反响任何改变。。。。。。。这关于商业上将ActiveMQ用在主要用途的人尤为要害。。。。。。。ActiveMQ的目的是在尽可能多的平台和语言上提供一个标准的，，，新闻驱动的应用集成。。。。。。。

CVE-2020-11998误差形成的原由于：

1. 在提交避免JMX(Java Management Extensions，，，即Java治理扩展,是一个为应用程序、装备、系统等植入治理功效的框架)重新绑定中引入了regression。。。。。。。

2. 将一个空的情形映射而不是包括身份验证凭证的映射转达到RMIConnectorServer会使得ActiveMQ容易受到以下攻击：

https://docs.oracle.com/javase/8/docs/technotes/guides/management/agent.html。。。。。。。

3. 在没有清静治理器的情形下，，，远程客户端可以建设一个javax.management.loading.MLet MBean，，，并使用它从恣意URL建设新的MBean，，，这可能会导致恶意的远程客户端使用Java应用程序执行恣意代码。。。。。。。

0x02 处置惩罚建议

现在Apache官方已宣布清静更新，，，建议升级到Apache ActiveMQ 5.15.13版本。。。。。。。

下载链接：

http://activemq.apache.org/activemq-51513-release

0x03 相关新闻

https://www.secfree.com/vul-150408.html

0x04 参考链接

http://activemq.apache.org/security-advisories.data/CVE-2020-11998-announcement.txt

https://nvd.nist.gov/vuln/detail/CVE-2020-11998

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11998

0x05 时间线

2020-09-10 Apache宣布清静通告

2020-09-14 VSRC宣布清静通告

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 凯时K66 版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】