阿里云漏洞库

该漏洞EXP已公开传播，漏洞利用成本极低，建议您立即关注并修复。

漏洞描述

Apache ActiveMQ是美国阿帕奇（Apache）软件基金会所研发的一套开源的消息中间件，它支持Java消息服务、集群、Spring Framework等。

Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞，该漏洞源于程序未能限制可在代理中序列化的类。远程攻击者可借助特制的序列化的Java Message Service(JMS)ObjectMessage对象利用该漏洞执行任意代码。

解决建议

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：
http://activemq.apache.org/security-advisories.data/CVE-2015-5254-announcement.txt

参考链接
http://activemq.apache.org/security-advisories.data/CVE-2015-5254-announcement.txt
http://lists.fedoraproject.org/pipermail/package-announce/2015-December/174371.html
http://lists.fedoraproject.org/pipermail/package-announce/2015-December/174537.html
http://rhn.redhat.com/errata/RHSA-2016-0489.html
http://rhn.redhat.com/errata/RHSA-2016-2035.html
http://rhn.redhat.com/errata/RHSA-2016-2036.html
http://www.debian.org/security/2016/dsa-3524
http://www.openwall.com/lists/oss-security/2015/12/08/6
http://www.oracle.com/technetwork/security-advisory/cpujul2017-3236622.html
http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html
https://h20566.www2.hpe.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_n...
https://issues.apache.org/jira/browse/AMQ-6013
https://lists.apache.org/thread.html/a859563f05fbe7c31916b3178c2697165bd9bbf5...
https://lists.apache.org/thread.html/a859563f05fbe7c31916b3178c2697165bd9bbf5...

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	apache	activemq	5.0.0	-
	运行在以下环境
	应用	apache	activemq	5.1.0	-
	运行在以下环境
	应用	apache	activemq	5.10.0	-
	运行在以下环境
	应用	apache	activemq	5.10.1	-
	运行在以下环境
	应用	apache	activemq	5.10.2	-
	运行在以下环境
	应用	apache	activemq	5.11.0	-
	运行在以下环境
	应用	apache	activemq	5.11.1	-
	运行在以下环境
	应用	apache	activemq	5.11.2	-
	运行在以下环境
	应用	apache	activemq	5.12.0	-
	运行在以下环境
	应用	apache	activemq	5.12.1	-
	运行在以下环境
	应用	apache	activemq	5.2.0	-
	运行在以下环境
	应用	apache	activemq	5.3.0	-
	运行在以下环境
	应用	apache	activemq	5.3.1	-
	运行在以下环境
	应用	apache	activemq	5.3.2	-
	运行在以下环境
	应用	apache	activemq	5.4.0	-
	运行在以下环境
	应用	apache	activemq	5.4.1	-
	运行在以下环境
	应用	apache	activemq	5.4.3	-
	运行在以下环境
	应用	apache	activemq	5.5.0	-
	运行在以下环境
	应用	apache	activemq	5.5.1	-
	运行在以下环境
	应用	apache	activemq	5.6.0	-
	运行在以下环境
	应用	apache	activemq	5.7.0	-
	运行在以下环境
	应用	apache	activemq	5.8.0	-
	运行在以下环境
	应用	apache	activemq	5.9.0	-
	运行在以下环境
	应用	apache	activemq	5.9.1	-
	运行在以下环境
	应用	redhat	openshift	2.0	-
	运行在以下环境
	系统	debian	DPKG	*		Up to (excluding) 5.13.2+dfsg-1
	运行在以下环境
	系统	debian_10	activemq	*		Up to (excluding) 5.13.2+dfsg-1
	运行在以下环境
	系统	debian_11	activemq	*		Up to (excluding) 5.13.2+dfsg-1
	运行在以下环境
	系统	debian_12	activemq	*		Up to (excluding) 5.13.2+dfsg-1
	运行在以下环境
	系统	debian_7	activemq	*		Up to (excluding) 5.6.0+dfsg-1+deb7u2
	运行在以下环境
	系统	fedora_22	activemq-core	*		Up to (excluding) 5.6.0-14.fc22
	运行在以下环境
系统	fedora_23	activemq-core	*		Up to (excluding) 5.6.0-14.fc23
运行在以下环境
系统	ubuntu_14.04	activemq	*		Up to (excluding) 5.6.0+dfsg-1+deb7u2build0.14.04.1
运行在以下环境
系统	ubuntu_14.04.6_lts	activemq	*		Up to (excluding) 5.6.0+dfsg-1+deb7u2build0.14.04.1
运行在以下环境
系统	ubuntu_16.04.7_lts	activemq	*		Up to (excluding) 5.13.2+dfsg-2

攻击路径

远程
攻击复杂度

容易
权限要求

无需权限
影响范围

全局影响
EXP成熟度

EXP 已公开
补丁情况

官方补丁
数据保密性

数据泄露
数据完整性

传输被破坏
服务器危害

服务器失陷
全网数量

N/A

CWE-ID	漏洞类型
CWE-20	输入验证不恰当

严重 Activemq 反序列化漏洞

漏洞描述

解决建议

参考链接

受影响软件情况