Apache ActiveMQ远程代码执行漏洞(CVE-2020-11998)

来源:scanv2020.09.15

一 漏洞概述

 Apache ActiveMQ是Apache软件基金会的一个开源项目,它是一个基于消息的通信中间件,并支持Java消息服务、集群、Spring Framework等。

 2020年09月10日,Apache软件基金会公布ActiveMQ消息中间件中存在一个安全漏洞,漏洞跟踪为CVE-2020-11998。攻击者可利用该漏洞执行任意代码。

  CVE-2020-11998漏洞形成的原因为:
1. 在提交防止JMX(Java Management Extensions,即Java管理扩展,是一个为应用程序、设备、系统等植入管理功能的框架)重新绑定中引入了regression。
2. 将一个空的环境映射而不是包含身份验证凭据的映射传递到RMIConnectorServer会使得ActiveMQ容易受到以下攻击:
https://docs.oracle.com/javase/8/docs/technotes/guides/management/agent.html。
3. 在没有安全管理器的情况下,远程客户端可以创建一个javax.management.loading.MLet MBean,并使用它从任意URL创建新的MBean,这可能会导致恶意的远程客户端使用Java应用程序执行任意代码。

二 影响版本

Apache ActiveMQ 5.15.12版本

 

三 复现过程

四 影响范围

根据 ZoomEye 网络空间搜索引擎对关键字"Apache ActiveMQ"进行搜索,共得到 175,060,431 条 IP 历史记录,集中分布在美国和德国。

 

五 修复建议

目前Apache官方已发布安全更新,建议升级到Apache ActiveMQ 5.15.13版本。

下载链接:

http://activemq.apache.org/activemq-51513-release

 

六 时间线

Apache发布安全公告时间:2020年9月10日

知道创宇发布漏洞情报时间:2020年9月15日

七 相关链接

https://nvd.nist.gov/vuln/detail/CVE-2020-11998

 

ZoomEye 网络空间搜索引擎:

https://www.zoomeye.org/searchResult?q=Apache%20ActiveMQ

热门文章

关注知道创宇云安全

获取安全动态