首页 -> 安全研究

安全研究

安全漏洞
Apache ActiveMQ中间人安全绕过漏洞(CVE-2018-11775)

发布日期:2019-06-10
更新日期:2019-06-11

受影响系统:
Oracle FLEXCUBE Private Banking 2.2 1
Oracle FLEXCUBE Private Banking 2.0.0.0
Oracle FLEXCUBE Private Banking 12.1.0.0
Oracle FLEXCUBE Private Banking 12.0.3.0
Oracle FLEXCUBE Private Banking 12.0.1.0
Oracle Enterprise Repository 12.1.3.0.0
Apache ActiveMQ 5.9.1
Apache ActiveMQ 5.6
Apache ActiveMQ 5.5.1
Apache ActiveMQ 5.5
Apache ActiveMQ 5.4.3
Apache ActiveMQ 5.4.2
Apache ActiveMQ 5.4.1
Apache ActiveMQ 5.4.0
Apache ActiveMQ 5.3.2
Apache ActiveMQ 5.15.5
Apache ActiveMQ 5.15.3
Apache ActiveMQ 5.15
Apache ActiveMQ 5.14.5
Apache ActiveMQ 5.14.2
Apache ActiveMQ 5.14.1
Apache ActiveMQ 5.1.0
不受影响系统:
Apache ActiveMQ 5.15.6
描述:
BUGTRAQ  ID: 105335
CVE(CAN) ID: CVE-2018-11775

Apache ActiveMQ是一个用Java编写的开源 消息代理以及完整的Java消息服务(JMS)客户端。
缺少5.15.6之前使用Apache ActiveMQ客户端时的TLS主机名验证,这可能使客户端容易受到使用ActiveMQ客户端和ActiveMQ服务器的Java应用程序之间的MITM攻击。现在默认启用此功能。

<*来源:Alphabot Security公司的Peter Stajckli
  
  链接:https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
        http://activemq.apache.org/security-advisories.data/CVE-2018-11775-announcement.txt
*>

建议:
厂商补丁:

Apache
------
Apache已经为此发布了一个安全公告(CVE-2018-11775)以及相应补丁:
CVE-2018-11775:ActiveMQ Client - Missing TLS Hostname Verification
链接:http://activemq.apache.org/security-advisories.data/CVE-2018-11775-announcement.txt

补丁下载:



Oracle
------
Oracle已经为此发布了一个安全公告(CVE-2018-11775)以及相应补丁:
CVE-2018-11775:Oracle Critical Patch Update Advisory - April 2019
链接:https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html

补丁下载:

浏览次数:620
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障