Debian DLA-3657-1：activemq - LTS 安全性更新

critical Nessus Plugin ID 186019

語系：

概要

遠端 Debian 主機上缺少一個或多個安全性更新。

說明

遠端 Debian 10 主機上安裝的多個套件受到 dla-3657 公告中提及的多個弱點影響。

- Apache ActiveMQ 使用 LocateRegistry.createRegistry() 建立 JMX RMI 登錄，並將伺服器繫結至 jmxrmi 項目。它可以不經驗證即連線至登錄檔，並呼叫 rebind 方法以將 jmxrmi 重新系結至其他項目。如果攻擊者建立其他伺服器以代理原始伺服器並加以限制，則其實際上會變成攔截式攻擊，並能夠在使用者連線時攔截憑證。升級至 Apache ActiveMQ 5.15.12。(CVE-2020-13920)

- 選用的 ActiveMQ LDAP 登入模組可設為以匿名方式存取 LDAP 伺服器。在此情況下，對於 2.16.0 之前版本的 Apache ActiveMQ Artemis 和 5.16.1 與 5.15.14 之前版本的 Apache ActiveMQ，系統會錯誤地使用匿名內容驗證有效使用者密碼，導致未檢查密碼。(CVE-2021-26117)

- Java OpenWire 通訊協定封送處理器容易受到遠端執行程式碼影響。出現此弱點時，若遠端攻擊者可透過網路存取使用 Java 的 OpenWire 訊息代理程式或用戶端，便可能透過操控 OpenWire 通訊協定中的序列化類別類型來執行任意 shell 命令，造成用戶端或訊息代理程式 (分別) 具現化類別路徑的任何類別。建議使用者將訊息代理程式和用戶端升級至 5.15.16、5.16.7、5.17.6 或 5.18.3 版，即可修正此問題。
(CVE-2023-46604)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。