漏洞描述
Apache ActiveMQ Artemis 是开源的高性能、可扩展的消息代理。Jolokia 是一个用于访问和管理 Java 应用程序的远程 JMX 代理,默认集成在8161端口的ActiveMQ web console中,Log4J2 MBeans用于管理和监控日志记录。
受影响版本中,经过 Jolokia 端点身份验证的攻击者可访问 Log4J2 MBean 在服务器写入任意文件,进而远程执行任意代码。补丁版本通过默认禁用 Log4j2 MBean 修复此漏洞。
影响范围
org.apache.activemq:artemis-cli@(-∞, 2.29.0)
activemq_artemis@(-∞, 2.29.0)
org.apache.activemq/artemis-cli@影响所有版本
org.apache.activemq/artemis-cli@影响所有版本
org.apache.activemq/artemis-cli@影响所有版本
org.apache.activemq/artemis-cli@影响所有版本
org.apache.activemq/artemis-cli@影响所有版本
org.apache.activemq/artemis-cli@影响所有版本
org.apache.activemq/artemis-cli@影响所有版本
org.apache.activemq/artemis-cli@影响所有版本
修复方案
将组件 org.apache.activemq:artemis-cli 升级至 2.29.0 及以上版本
将组件 activemq_artemis 升级至 2.29.0 及以上版本
参考链接
https://lists.apache.org/thread/63b78shqz312phsx7v1ryr7jv7bprg58
https://github.com/apache/activemq-artemis/commit/b17ea490bff397349ac9b1188d1b047e11562d74
https://nvd.nist.gov/vuln/detail/CVE-2023-50780
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
未经允许不得转载:岩猫星空网 » Apache ActiveMQ Artemis<2.29.0 远程代码执行漏洞