CVE-2024-32114：Apache ActiveMQ 中暴露的高严重性漏洞

Apache ActiveMQ 被广泛认为是最流行的开源、多协议、基于 Java 的消息代理，有助于跨多种客户端软件和编程语言（包括 JavaScript、C、C++、Python、.Net 等）进行通信。通过支持 AMQP 等标准协议，它确保了集成多平台应用程序的广泛兼容性和灵活性。然而，在其 6.x 版本中发现了一个名为CVE-2024-32114的高严重性安全漏洞，该漏洞给该平台的用户带来了重大风险。

漏洞详情

CVE-2024-32114 在 CVSS 量表上的严重性评分为8.5，表明风险级别较高。该漏洞源于来自 Apache ActiveMQ 6.x 中不安全的默认配置，特别与 Jolokia JMX REST API 和 Message REST API 相关，这两者都可以通过 API Web 上下文访问。默认配置不保护这些 API，这意味着无需任何形式的身份验证即可访问它们。

该漏洞的影响

由于缺乏身份验证，未经授权的用户可以不受限制地访问消息代理，从而执行各种操作。恶意行为者可能会使用 Jolokia JMX REST API 与代理进行交互，或者操纵消息传递功能，例如通过消息 REST API 生成/使用消息以及清除/删除目标。这可能会导致未经授权的数据访问、数据丢失或服务中断，从而严重损害应用程序的完整性和可用性。

缓解策略

为了解决此漏洞，建议Apache ActiveMQ 6.x 用户立即采取行动。建议的缓解措施包括更新文件中的默认配置conf/jetty.xml以强制进行身份验证。这可以通过向配置添加安全约束映射来完成，如下所示：

<bean id="securityConstraintMapping" class="org.eclipse.jetty.security.ConstraintMapping">    <property name="constraint" ref="securityConstraint" />    <property name="pathSpec" value="/" /></bean>

此配置片段确保对 API Web 上下文的访问是安全的，在发生任何交互之前需要进行正确的身份验证。

长期解决方案

虽然上述缓解措施提供了快速修复以保护 ActiveMQ 免受 CVE-2024-32114 的影响，但 Apache 建议升级到 Apache ActiveMQ 版本6.1.2。此较新版本包括更新的默认配置，默认情况下可保护 Jolokia 和 REST API，从而为该漏洞提供更永久的解决方案。