Kriittinen etäkäytön mahdollistava haavoittuvuus Apache ActiveMQ tuotteessa
Haavoittuvuus23/2023CVSS 10CVE-2023-46604 (Ulkoinen linkki)
Apache on julkaissut korjaavan ohjelmistopäivityksen ActiveMQ tuotteesta löytyneeseen etäkäytön mahdollistavaan haavoittuvuuteen. Ylläpitäjiä suositellaan asentamaan korjaava ohjelmistopäivitys mahdollisimman pian.
Hyökkääjä pystyy suorittamaan mielivaltaisia komentoja manipuloimalla OpenWire-protokollan serialisoituja luokkatyyppejä.
Kohde
- Palvelimet ja palvelinsovellukset
Hyökkäystapa
- Etäkäyttö
Vaikutukset
- Komentojen mielivaltainen suorittaminen
Hyväksikäyttömenetelmä tiedossa
- Haavoittuvuuden havainnollistava esimerkkikoodi
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvuuden kohde
Apache ActiveMQ 5.18.0 ennen versiota 5.18.3
Apache ActiveMQ 5.17.0 ennen versiota 5.17.6
Apache ActiveMQ 5.16.0 ennen versiota 5.16.7
Apache ActiveMQ ennen versiota 5.15.16
Apache ActiveMQ Legacy OpenWire Module 5.18.0 ennen versiota 5.18.3
Apache ActiveMQ Legacy OpenWire Module 5.17.0 ennen versiota 5.17.6
Apache ActiveMQ Legacy OpenWire Module 5.16.0 ennen versiota 5.16.7
Apache ActiveMQ Legacy OpenWire Module 5.8.0 ennen versiota 5.15.16
Mistä on kysymys?
Käyttäjiä suositellaan päivittämään versioihin 5.15.16, 5.16.7, 5.17.6, tai 5.18.3, jotka korjaavat haavoittuvuuden.