Apache ActiveMQ (版本＜ 5.18.3) (CVE-2023-46604)RCE修复方案/缓解方案

本文介绍: CVE-2023-46604

Ap ac he Ac tiveMQ 是美国阿帕奇（Apac he）基金会的一套开源的消息中间件，它支持 Jav a 消息服务、集群、Sprin g Framework 等。

Ac tiveMQ 默认开放了 61616 端口用于接收 OpenWire 协议消息，由于针对异常消息的处理存在反射调用逻辑，攻击者可能通过构造恶意的序列化消息数据加载恶意类，执行任意代码。

Apac he ActiveMQ＜5.18.3
Apache ActiveMQ＜5.17.6

Apache ActiveMQ＞=5.18.3
Apache ActiveMQ＞=5.17.6

目前官方已通过限制反序列化类只能为Throw able的子类的方式来修复此漏洞。建议受影响用户可以更新到：

Apache ActiveMQ >= 5.18.3

<plugins> 		
			<simpleAuthenticationPlugin>    				
				<users>    					
					<authenticationUser username="system" password="123456" groups="users,admins"/>
					<authenticationUser username="user" password="123456"  groups="users"/>    
					<authenticationUser username="guest" password="123456" groups="guests"/>    
				</users>    			
			</simpleAuthenticationPlugin>    		
</plugins>

ConnectionFactory cf = new ActiveMQConnectionFactory("system","123456","tcp://192.168.126.128:61616");

<bean id="connectionFactory" class="org.apache.activemq.ActiveMQConnectionFactory">
    	<property name="brokerURL" value="tcp://192.168.126.128:61616"/>
    	<property name="userName" value="system"/>
    	<property name="password" value="123456"/>
    </bean>

spring.activemq.broker-url=tcp://192.168.126.128:61616
spring.activemq.user=system
spring.activemq.password=123456

显示所有内容

声明：本站所有文章，如无特殊说明或标注，均为本站原创发布。任何个人或组织，在未征得本站同意时，禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益，可联系我们进行处理。

activemq apache

一、漏洞 描述

二、漏洞成因

三、影响 范围

影响 版本：

安全 版本：

四、修复方案

五、缓解方案

5.1增加访问验证

5.2配置防火墙

发表回复取消回复

一、漏洞描述

二、漏洞成因

三、影响范围

影响版本：

安全版本：

四、修复方案

五、缓解方案

5.1增加访问验证

5.2配置防火墙

相关文章

发表回复 取消回复

发表回复取消回复