Apache ActiveMQ (版本 < 5.18.3) (CNVD-2023-69477)RCE修复方案/缓解方案

一、漏洞描述

Apache ActiveMQ 是美国阿帕奇(Apache)基金会的一套开源的消息中间件,它支持 Java 消息服务、集群、Spring Framework 等。

二、漏洞成因

ActiveMQ 默认开放了 61616 端口用于接收 OpenWire 协议消息,由于针对异常消息的处理存在反射调用逻辑,攻击者可能通过构造恶意的序列化消息数据加载恶意类,执行任意代码。

三、影响范围

影响版本:

Apache ActiveMQ<5.18.3

Apache ActiveMQ<5.17.6

安全版本:

Apache ActiveMQ>=5.18.3

Apache ActiveMQ>=5.17.6

四、修复方案

目前官方已通过限制反序列化类只能为Throwable的子类的方式来修复此漏洞。建议受影响用户可以更新到:

Apache ActiveMQ >= 5.18.3

Apache ActiveMQ >= 5.17.6

Apache ActiveMQ >= 5.16.7

Apache ActiveMQ >= 5.15.16

https://github.com/apache/activemq/tags

5.18.3与5.17.6要求JDK11+

五、缓解方案

5.1增加访问验证

ActiveMQ 默认开放了 61616 端口,我们可以通过修改配置文件,使访问61616端口时需要进行登录验证。

在conf/activemq.xml文件中的的内加上:

xml 复制代码
<plugins> 		
			<simpleAuthenticationPlugin>    				
				<users>    					
					<authenticationUser username="system" password="123456" groups="users,admins"/>
					<authenticationUser username="user" password="123456"  groups="users"/>    
					<authenticationUser username="guest" password="123456" groups="guests"/>    
				</users>    			
			</simpleAuthenticationPlugin>    		
</plugins>

对应访问ActiveMQ的代码也需要进行修改

共有三种操作(常规,集成spring,集成springboot):

常规:

java 复制代码
ConnectionFactory cf = new ActiveMQConnectionFactory("system","123456","tcp://192.168.126.128:61616");

集成Spring:

java 复制代码
<bean id="connectionFactory" class="org.apache.activemq.ActiveMQConnectionFactory">
    	<property name="brokerURL" value="tcp://192.168.126.128:61616"/>
    	<property name="userName" value="system"/>
    	<property name="password" value="123456"/>
    </bean>

集成SpringBoot:

java 复制代码
spring.activemq.broker-url=tcp://192.168.126.128:61616
spring.activemq.user=system
spring.activemq.password=123456

5.2配置防火墙

通过配置firewall或者iptables 只给指定ip开放61616端口

相关推荐
鲲志说36 分钟前
数据洪流时代,如何挑选一款面向未来的时序数据库?IoTDB 的答案
大数据·数据库·apache·时序数据库·iotdb
psgogogo20259 小时前
Apache POI:Java操作Office文档的利器
java·开发语言·其他·apache
亚林瓜子10 小时前
Spring中使用Apache Http客户端调第三方系统接口临时查看请求体参数
spring·http·apache·log
zz-zjx10 小时前
Apache 生产环境操作与 LAMP 搭建指南
linux·运维·apache
DolphinScheduler社区10 小时前
(二)3.1.9 生产“稳”担当:Apache DolphinScheduler Worker 服务源码全方位解析
apache
SeaTunnel17 小时前
一文掌握 Apache SeaTunnel 构建系统与分发基础架构
apache
左师佑图17 小时前
Apache POI 在 Linux 无图形界面环境下因字体配置问题导致Excel导出失败的解决方案
linux·apache·excel
喵手17 小时前
Java中的大数据流式计算与Apache Kafka集成!
java·华为云·apache
涤生大数据1 天前
Apache Doris性能优化全解析:慢查询定位与引擎深度调优
性能优化·apache·doris·大数据技术
88Ra2 天前
小程序中获取年月日时分的组件
java·小程序·apache