Apache ActiveMQ (一個 Java 訊息代理程式) 使用 LocateRegistry.createRegistry() 建立 JMX RMI 登錄，並將伺服器系結至「jmxrmi」項目。它可以不經驗證即連線至登錄檔，並呼叫 rebind 方法以將 jmxrmi 重新系結至其他項目。如果攻擊者建立其他伺服器以代理原始伺服器並加以限制，則其實際上會變成攔截式攻擊，並能夠在使用者連線時攔截憑證。

針對 Debian 9 Stretch，已在 5.14.3-3+deb9u1 版本中修正此問題。

建議您升級 activemq 套件。

如需有關 activemq 安全性狀態的詳細資訊，請參閱其安全追蹤頁面：
https://security-tracker.debian.org/tracker/activemq

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

偵測

Debian DLA-2400-1：activemq 安全性更新

medium Nessus Plugin ID 141272

版本 1.3