漏洞名称:Apache ActiveMQ 远程代码执行漏洞CVE-2020-11998
威胁等级:中危
影响范围:Apache ActiveMQ = 5.15.12
漏洞类型:远程代码执行漏洞
利用难度:中等
漏洞分析
1 Apache ActiveMQ 组件介绍
Apache ActiveMQ是Apache软件基金会所研发的开放源代码消息中间件;由于ActiveMQ是一个纯Java程序,因此只需要操作系统支持Java虚拟机,ActiveMQ便可执行。
2 漏洞描述
9月10日Apache软件基金会发布安全公告,修复了Apache ActiveMQ远程代码执行漏洞(CVE-2020-11998)。
在配置中,如果用户将一个不包含身份验证凭据的空的环境映射传递到RMIConnectorServer中时,会使得ActiveMQ容易受到代码注入攻击。
在没有安全管理配置的情况下,远程客户端可以创建一个javax.management.loading.MLet MBean,并使用它从任意URL创建新的MBean,当用户加载恶意的远程客户端Java应用程序时,会导致任意代码执行。
3 漏洞复现
搭建Apache ActiveMQ 5.15.12版本,发送精心构造的请求,可以执行任意系统命令,效果如下。
影响范围
受影响版本:
Apache ActiveMQ = 5.15.12
修复建议
目前厂商已在新版本修复该漏洞,请受影响的用户升级到Apache ActiveMQ 5.15.13或以上版本。
下载链接:
http://activemq.apache.org/
时间轴
2020/09/10 Apache ActiveMQ 官方发布修复补丁。
2020/09/23 深信服千里目安全实验室发布漏洞通告。
2020/09/25 深信服千里目安全实验室复现漏洞并发布二次通告。
参考链接
http://activemq.apache.org/security-advisories.data/CVE-2020-11998-announcement.txt
https://docs.oracle.com/javase/8/docs/technotes/guides/management/agent.html
点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论