Apache ActiveMQ 5.x < 5.10.1/5.11.0 多個弱點
high Nessus Plugin ID 81374
語系:
概要
遠端主機上有一個受到多個弱點影響的 Web 應用程式。說明
遠端主機上執行的 Apache ActiveMQ 版本為 5.10.1 / 5.11.0 之前的 5.x 版本。因此可能受到多個弱點影響:- 未經驗證的遠端攻擊者可透過傳送封包至訊息消耗者或產品連線的相同連接埠來導致 broker 接聽程式損毀,進而導致拒絕服務的情況。(CVE-2014-3576)
- 存在一個與 XPath 選取器相關的 XML 外部實體 (XXE) 插入弱點。遠端攻擊者可加以惡意利用,透過特製的 XML 資料來洩漏任意檔案的內容。
(CVE-2014-3600)
- Java 驗證與授權服務 (JAAS) 的 LDAPLoginModule 中存在一個瑕疵,其可由使用萬用字元運算子而非使用者名稱或無效的密碼進行觸發。遠端攻擊者可加以惡意利用而繞過驗證。
(CVE-2014-3612)
- web 管理主控台中存在多個跨網站指令碼 (XSS) 弱點。(CVE-2014-8110)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級至 5.10.1 / 5.11.0 或更新版本。另請參閱
http://www.nessus.org/u?c8309341
Plugin 詳細資訊
嚴重性: High
ID: 81374
檔案名稱: activemq_5_10_1.nasl
版本: 1.17
類型: combined
代理程式: unix
系列: CGI abuses
已發布: 2015/2/16
已更新: 2024/4/19
組態: 啟用徹底檢查
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
CVSS v2
風險因素: High
基本分數: 7.5
時間分數: 5.5
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 評分資料來源: CVE-2014-3612
弱點資訊
CPE: cpe:/a:apache:activemq
必要的 KB 項目: installed_sw/Apache ActiveMQ
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2015/1/22
弱點發布日期: 2010/4/6
參考資訊
CVE: CVE-2014-3576, CVE-2014-3600, CVE-2014-3612, CVE-2014-8110