Multiple security issues were discovered in activemq, a message broker built around Java Message Service.

CVE-2017-15709

When using the OpenWire protocol in activemq, it was found that certain system details (such as the OS and kernel version) are exposed as plain text.

CVE-2018-11775

TLS hostname verification when using the Apache ActiveMQ Client was missing which could make the client vulnerable to a MITM attack between a Java application using the ActiveMQ client and the ActiveMQ server. This is now enabled by default.

CVE-2019-0222

Unmarshalling corrupt MQTT frame can lead to broker Out of Memory exception making it unresponsive

CVE-2021-26117

The optional ActiveMQ LDAP login module can be configured to use anonymous access to the LDAP server. The anonymous context is used to verify a valid users password in error, resulting in no check on the password.

For Debian 9 stretch, these problems have been fixed in version 5.14.3-3+deb9u2.

We recommend that you upgrade your activemq packages.

For the detailed security status of activemq please refer to its security tracker page at:
https://security-tracker.debian.org/tracker/activemq

NOTE: Tenable Network Security has extracted the preceding description block directly from the DLA security advisory. Tenable has attempted to automatically clean and format it as much as possible without introducing additional issues.

The version of Apache ActiveMQ running on the remote host is 5.15.4.x or 5.14.x prior to 5.15.3. It is, therefore, affected by an unspecified flaw related to the OpenWire protocol that allows information disclosure.

Java Message Serviceを中心に構築されたメッセージブローカーであるactivemqで、複数のセキュリティの問題が発見されました。

CVE-2017-15709

activemqでOpenWireプロトコルを使用する際に、特定のシステムの詳細（OSやカーネルバージョンなど）がテキスト形式で公開されることがわかりました。

CVE-2018-11775

Apache ActiveMQ Client使用時に、TLSホスト名検証が欠落していました。これにより、ActiveMQクライアントを使用するJavaアプリケーションとActiveMQサーバーの間で、クライアントがMITM攻撃に脆弱になる可能性があります。これはデフォルトでは現在有効になっています。

CVE-2019-0222

破損したMQTTフレームのマーシャリングを解除すると、ブローカのメモリ不足例外が応答不能になる可能性があります。

CVE-2021-26117

オプションのActiveMQ LDAPログインモジュールは、LDAPサーバーへの匿名アクセスを使用するように構成できます。匿名のコンテキストは、誤って有効なユーザーパスワードの検証に使用されるため、パスワードがチェックされません。

Debian 9 'Stretch'では、これらの問題はバージョン5.14.3-3+deb9u2で修正されています。

お使いのactivemqパッケージをアップグレードすることを推奨します。

activemqの詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください：
https://security-tracker.debian.org/tracker/activemq

注：Tenable Network Securityは、前述の記述ブロックをDLAセキュリティアドバイザリーから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

リモートホストで実行されている Apache ActiveMQ のバージョンは、5.15.4.x であるか 5.15.3 より前の 5.14.x です。したがって、OpenWire プロトコルに関連する詳細不明な欠陥の影響を受け、情報漏えいを引き起こす可能性があります。

在 activemq (一個圍繞 Java Message Service 構建的訊息代理程式) 中發現多個安全性問題。

CVE-2017-15709

在 activemq 中使用 OpenWire 通訊協定時，發現某些系統詳細資料 (例如 OS 和核心版本) 會顯示為純文字。

CVE-2018-11775

使用 Apache ActiveMQ 用戶端時，缺少 TLS 主機名稱驗證，這可使用戶端容易受到使用 ActiveMQ 用戶端的 Java 應用程式和 ActiveMQ 伺服器之間的 MITM 攻擊。現在，此項預設為啟用。

CVE-2019-0222

取消封送損毀的 MQTT 框架可導致代理程式發生記憶體不足異常，使其無法回應

CVE-2021-26117

選用的 ActiveMQ LDAP 登入模組可設為使用匿名存取 LDAP 伺服器。使用匿名內容錯誤驗證有效的使用者密碼，進而導致未檢查密碼。

針對 Debian 9 Stretch，已在 5.14.3-3+deb9u2 版本中修正這些問題。

建議您升級 activemq 套件。

如需有關 activemq 安全性狀態的詳細資訊，請參閱其安全追蹤頁面：
https://security-tracker.debian.org/tracker/activemq

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

在围绕 Java Message Service 构建的消息代理 activemq 中发现多个安全问题。

CVE-2017-15709

在 activemq 中使用 OpenWire 协议时，发现某些系统详细信息（如操作系统和内核版本）显示为纯文本。

CVE-2018-11775

使用 Apache ActiveMQ 客户端时缺少 TLS 主机名验证，这可使客户端容易遭受使用 ActiveMQ 客户端的 Java 应用程序和 ActiveMQ 服务器之间的 MITM 攻击。默认情况下启用此项。

CVE-2019-0222

解组损坏的 MQTT 帧可导致代理内存不足异常，使其无法响应

CVE-2021-26117

可以配置可选的 ActiveMQ LDAP 登录模块，通过匿名方式访问 LDAP 服务器。将使用匿名上下文错误验证有效的用户密码，从而导致未检查密码。

对于 Debian 9 stretch，已在版本 5.14.3-3+deb9u2 中修复这些问题。

建议您升级 activemq 程序包。

如需了解 activemq 的详细安全状态，请参阅其安全跟踪页面：
https://security-tracker.debian.org/tracker/activemq

注意：Tenable Network Security 已直接从 DLA 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下，尽可能进行自动清理和排版。

遠端主機上執行的 Apache ActiveMQ 版本為比 5.15.3 舊的 5.15.4.x 或 5.14.x 版。因此，會受到與 OpenWire 通訊協定有關的一個不明缺陷影響，該缺陷可允許資訊洩漏。

远程主机上运行的 Apache ActiveMQ 版本为 5.15.4.x 或低于 5.15.3 的 5.14.x。因而受到与 OpenWire 协议有关的不明缺陷影响，此缺陷可允许信息泄露。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
147182	Debian DLA-2583-1 : activemq security update	Nessus	Debian Local Security Checks	2021/3/8	2024/1/12	high
117482	Apache ActiveMQ 5.14.x - 5.15.2 OpenWire Information Disclosure	Nessus	CGI abuses	2018/9/14	2024/6/6	low
147182	DebianDLA-2583-1：activemqのセキュリティ更新	Nessus	Debian Local Security Checks	2021/3/8	2024/1/12	high
117482	Apache ActiveMQ 5.14.x - 5.15.2 OpenWire の情報漏えい	Nessus	CGI abuses	2018/9/14	2024/6/6	low
147182	Debian DLA-2583-1：activemq 安全性更新	Nessus	Debian Local Security Checks	2021/3/8	2024/1/12	high
147182	Debian DLA-2583-1：activemq 安全更新	Nessus	Debian Local Security Checks	2021/3/8	2024/1/12	high
117482	Apache ActiveMQ 5.14.x - 5.15.2 OpenWire 資訊洩漏	Nessus	CGI abuses	2018/9/14	2024/6/6	low
117482	Apache ActiveMQ 5.14.x - 5.15.2 OpenWire 信息泄露	Nessus	CGI abuses	2018/9/14	2024/6/6	low

检测

插件搜索

high

low

high

low

high

high

low

low