Kriittinen etäkäytön mahdollistava haavoittuvuus Apache ActiveMQ tuotteessa | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Kriittinen etäkäytön mahdollistava haavoittuvuus Apache ActiveMQ tuotteessa

1. marraskuuta 2023 klo 10.51

Apache on julkaissut korjaavan ohjelmistopäivityksen ActiveMQ tuotteesta löytyneeseen etäkäytön mahdollistavaan haavoittuvuuteen. Ylläpitäjiä suositellaan asentamaan korjaava ohjelmistopäivitys mahdollisimman pian.

Hyökkääjä pystyy suorittamaan mielivaltaisia komentoja manipuloimalla OpenWire-protokollan serialisoituja luokkatyyppejä.

Haavoittuvuuden kohde

Apache ActiveMQ 5.18.0 ennen versiota 5.18.3
Apache ActiveMQ 5.17.0 ennen versiota 5.17.6
Apache ActiveMQ 5.16.0 ennen versiota 5.16.7
Apache ActiveMQ ennen versiota 5.15.16
Apache ActiveMQ Legacy OpenWire Module 5.18.0 ennen versiota 5.18.3
Apache ActiveMQ Legacy OpenWire Module 5.17.0 ennen versiota 5.17.6
Apache ActiveMQ Legacy OpenWire Module 5.16.0 ennen versiota 5.16.7
Apache ActiveMQ Legacy OpenWire Module 5.8.0 ennen versiota 5.15.16

Mistä on kysymys?

Käyttäjiä suositellaan päivittämään versioihin 5.15.16, 5.16.7, 5.17.6, tai 5.18.3, jotka korjaavat haavoittuvuuden.

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Haavoittuvuuden havainnollistava esimerkkikoodi

Proof of concept.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.