阿里云漏洞库

漏洞描述

Apache ActiveMQ是美国阿帕奇（Apache）软件基金会的一套开源的消息中间件，它支持Java消息服务、集群、Spring Framework等。effect是一款用于添加图像效果的软件包。 Apache ActiveMQ使用LocateRegistry.createRegistry()创建JMX RMI注册表并将服务器绑定到“jmxrmi”条目。可以在不进行身份验证的情况下连接到注册表，并调用rebind方法将jmxrmi重新绑定到其他对象。如果攻击者创建另一个服务器来代理原始服务器，并对其进行绑定，则他实际上成为中间人，并能够在用户连接时截获凭据。升级至Apache-ActiveMQ 5.15.12版本。

解决建议

厂商已发布了漏洞修复程序，请及时关注更新：
http://activemq.apache.org/security-advisories.data/CVE-2020-13920-announcement.txt

参考链接
http://activemq.apache.org/security-advisories.data/CVE-2020-13920-announcement.txt
https://lists.apache.org/thread.html/r946488fb942fd35c6a6e0359f52504a558ed438...
https://lists.apache.org/thread.html/rb2fd3bf2dce042e0ab3f3c94c4767c96bb2e7e6...
https://lists.debian.org/debian-lts-announce/2020/10/msg00013.html
https://lists.debian.org/debian-lts-announce/2023/11/msg00013.html
https://www.oracle.com/security-alerts/cpuoct2020.html

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	apache	activemq	*		Up to (excluding) 5.15.12
	运行在以下环境
	系统	debian_10	activemq	*		Up to (excluding) 5.15.16-0+deb10u1
	运行在以下环境
	系统	debian_11	activemq	*		Up to (excluding) 5.16.0-1
	运行在以下环境
	系统	debian_12	activemq	*		Up to (excluding) 5.16.0-1
	运行在以下环境
	系统	debian_9	activemq	*		Up to (excluding) 5.14.3-3+deb9u1

攻击路径

远程
攻击复杂度

困难
权限要求

无需权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

100

CWE-ID	漏洞类型
CWE-287	认证机制不恰当
CWE-306	关键功能的认证机制缺失

低危 Apache ActiveMQ effect授权问题漏洞

漏洞描述

解决建议

参考链接

受影响软件情况