一、基本情况
1月27日,Apache发布Apache ActiveMQ未授权访问漏洞的风险通告,该漏洞CVE编号:CVE-2021-26117。攻击者可利用该漏洞获得对系统的未授权访问。建议受影响用户及时升级新版本修复该漏洞,做好资产自查以及预防工作,以免遭受黑客攻击。
二、漏洞等级
三、漏洞详情
Apache ActiveMQ是美国阿帕奇(Apache)基金会的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等。 该漏洞源于Apache ActiveMQ Artemis 2.16.0之前版本,Apache ActiveMQ 5.16.1和5.15.14之前版本未能正确验证错误的有效用户的密码。攻击者可提供有效的用户名,无需提供密码,即可获得对系统的未授权访问,获取敏感信息。 |
四、影响范围
Apache ActiveMQ Artemis < 2.16.0 Apache ActiveMQ < 5.16.1 Apache ActiveMQ < 5.15.14 |
五、处置建议
(一) 官方建议 建议受影响用户升级至安全版本修复该漏洞。 Apache ActiveMQ Artemis >= 2.16.0 Apache ActiveMQ >= 5.16.1 Apache ActiveMQ >= 5.15.14 (二) 缓解措施 禁止在LDAP配置中使用匿名绑定。 |
六、参考链接
https://lists.apache.org/thread.html/re1b98da90a5f2e1c2e2d50e31c12e2578d61fe01c0737f9d0bd8de99@%3Cannounce.apache.org%3E |
来源:网络安全威胁和漏洞信息共享平台
