发布日期：2019-07-03
更新日期：2019-07-03

受影响系统：

Apache ActiveMQ 5.9.1
Apache ActiveMQ 5.6
Apache ActiveMQ 5.5.1
Apache ActiveMQ 5.5
Apache ActiveMQ 5.4.3
Apache ActiveMQ 5.4.2
Apache ActiveMQ 5.4.1
Apache ActiveMQ 5.4.0
Apache ActiveMQ 5.3.2
Apache ActiveMQ 5.15.8
Apache ActiveMQ 5.15.6
Apache ActiveMQ 5.15.5
Apache ActiveMQ 5.15.3
Apache ActiveMQ 5.15
Apache ActiveMQ 5.14.5
Apache ActiveMQ 5.14.2
Apache ActiveMQ 5.14.1
Apache ActiveMQ 5.1.0
Apache ActiveMQ 5.0
MQTT MQTT Client 1.9
MQTT MQTT Client 1.8
MQTT MQTT Client 1.7
MQTT MQTT Client 1.6
MQTT MQTT Client 1.5
MQTT MQTT Client 1.4
MQTT MQTT Client 1.3

不受影响系统：

Apache ActiveMQ 5.15.9
MQTT MQTT Client 1.15

描述：

---

BUGTRAQ  ID: 107622
CVE(CAN) ID: CVE-2019-0222

Apache ActiveMQ是Apache软件基金会所研发的开放源代码消息中间件；由于ActiveMQ是一个纯Java程序，因此只需要操作系统支持Java虚拟机，ActiveMQ便可执行。

在Apache ActiveMQ 5.0.0 - 5.15.8中，解组损坏的MQTT帧可能导致代理内存不足异常，使其无响应。

攻击者可以利用此问题导致拒绝服务的情况。

<*来源：Indrajeet Singh
  
  链接：http://activemq.apache.org/security-advisories.data/CVE-2019-0222-announcement.txt
*>

建议：

---

厂商补丁：

Apache
------
Apache已经为此发布了一个安全公告（CVE-2019-0222）以及相应补丁:
CVE-2019-0222：Corrupt MQTT frame can cause broker shutdown
链接：http://activemq.apache.org/security-advisories.data/CVE-2019-0222-announcement.txt

补丁下载：

浏览次数：2415
严重程度：0（网友投票）