阿里云漏洞库

Apache ActiveMQ是一款开源消息总线，支持JMS1.1和J2EE 1.4规范的JMS Provider实现。

Apache ActiveMQ配置了支持未验证验证机制的LDAP服务器，ActiveMQ Java Authentication和Authorization Service (JAAS)提供的LDAPLoginModule实现存在漏洞，允许远程攻击者提供使用空密码的合法账户，绕过验证登录。

Apache ActiveMQ 5.10.1或5.11.0已经修复该漏洞，建议用户下载更新：
http://activemq.apache.org/

参考链接
http://activemq.apache.org/security-advisories.data/CVE-2014-3612-announcement.txt
http://rhn.redhat.com/errata/RHSA-2015-0137.html
http://rhn.redhat.com/errata/RHSA-2015-0138.html
http://seclists.org/oss-sec/2015/q1/427
http://www.securityfocus.com/bid/72513
https://lists.apache.org/thread.html/a859563f05fbe7c31916b3178c2697165bd9bbf5...

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	apache	activemq	5.0.0	-
	运行在以下环境
	应用	apache	activemq	5.1.0	-
	运行在以下环境
	应用	apache	activemq	5.10.0	-
	运行在以下环境
	应用	apache	activemq	5.2.0	-
	运行在以下环境
	应用	apache	activemq	5.3.0	-
	运行在以下环境
	应用	apache	activemq	5.3.1	-
	运行在以下环境
	应用	apache	activemq	5.3.2	-
	运行在以下环境
	应用	apache	activemq	5.4.0	-
	运行在以下环境
	应用	apache	activemq	5.4.1	-
	运行在以下环境
	应用	apache	activemq	5.4.2	-
	运行在以下环境
	应用	apache	activemq	5.4.3	-
	运行在以下环境
	应用	apache	activemq	5.5.0	-
	运行在以下环境
	应用	apache	activemq	5.5.1	-
	运行在以下环境
	应用	apache	activemq	5.6.0	-
	运行在以下环境
	应用	apache	activemq	5.7.0	-
	运行在以下环境
	应用	apache	activemq	5.8.0	-
	运行在以下环境
	应用	apache	activemq	5.9.0	-
	运行在以下环境
	应用	apache	activemq	5.9.1	-
	运行在以下环境
	系统	debian	DPKG	*		Up to (excluding) 5.6.0+dfsg1-4
	运行在以下环境
	系统	debian_10	activemq	*		Up to (excluding) 5.6.0+dfsg1-4
	运行在以下环境
	系统	debian_11	activemq	*		Up to (excluding) 5.6.0+dfsg1-4
	运行在以下环境
	系统	debian_12	activemq	*		Up to (excluding) 5.6.0+dfsg1-4
	运行在以下环境
	系统	debian_7	activemq	*		Up to (excluding) 5.6.0+dfsg-1+deb7u1
	运行在以下环境
	系统	ubuntu_14.04	activemq	*		Up to (excluding) 5.6.0+dfsg-1+deb7u1build0.14.04.1
	运行在以下环境
	系统	ubuntu_14.04.6_lts	activemq	*		Up to (excluding) 5.6.0+dfsg-1+deb7u1build0.14.04.1

CWE-ID	漏洞类型
CWE-287	认证机制不恰当