Af Eskil Sørensen, 30/10/23
Apache har udsendt en opdatering, der adresserer en kritisk sårbarhed i ActiveMQ.
Sårbarheden har id’et CVE-2023-46604 og en CVSS-score på 10. Når en CVSS-score er på det maksimale, er forventningen, at en exploit-kode er tilgængelig inden for kort tid og at der derefter vil kunne observeres udnyttelser.
ActiveMQ er en ’message-broker’, der bruges som middleware i visse applikationer. Sårbarheden ligger i måden, data deserialiseres på. En vellykket udnyttelse kan resultere i, at en angriber kan afvikle kode fra ’remote’, hvor ActiveMQ er installeret. Udnyttelsen kræver dog netværksadgang til enheden.
Følgende versioner af ActiveMQ er sårbare
- Apache ActiveMQ 5.18.0 før 5.18.3
- Apache ActiveMQ 5.17.0 før 5.17.6
- Apache ActiveMQ 5.16.0 før 5.16.7
- Apache ActiveMQ før 5.15.16
- Apache ActiveMQ Legacy OpenWire Module 5.18.0 før 5.18.3
- Apache ActiveMQ Legacy OpenWire Module 5.17.0 før 5.17.6
- Apache ActiveMQ Legacy OpenWire Module 5.16.0 før 5.16.7
- Apache ActiveMQ Legacy OpenWire Module 5.8.0 før 5.15.16
Det anbefales, at der opdateres til en version af Apache ActiveMQ, der lukker sårbarheden.
Der er pt. ikke kendskab til aktiv udnyttelse.
Links:
https://activemq.apache.org/security-advisories.data/CVE-2023-46604-announcement.txt