漏洞描述
Apache ActiveMQ 是美国阿帕奇(Apache)基金会的一套开源的消息中间件,它支持 Java 消息服务、集群、Spring Framework 等。
ActiveMQ 默认开放了 61616 端口用于接收 OpenWire 协议消息,由于针对异常消息的处理存在反射调用逻辑,攻击者可能通过构造恶意的序列化消息数据加载恶意类,执行任意代码。
影响范围
activemq@[5.18.0, 5.18.3)
activemq@(-∞, 5.17.6)
修复方案
升级至 5.15.16, 6.0.0, 5.18.3, 5.17.6, 5.16.7 或更高版本
将组件 activemq 升级至 5.18.3 及以上版本
将组件 activemq 升级至 5.17.6 及以上版本
领取专属 10元无门槛券
私享最新 技术干货