Apache ActiveMQ中间人安全绕过漏洞(CVE-2018-11775)
发布日期:2019-06-10
更新日期:2019-06-11
受影响系统:
Oracle FLEXCUBE Private Banking 2.2 1
Oracle FLEXCUBE Private Banking 2.0.0.0
Oracle FLEXCUBE Private Banking 12.1.0.0
Oracle FLEXCUBE Private Banking 12.0.3.0
Oracle FLEXCUBE Private Banking 12.0.1.0
Oracle Enterprise Repository 12.1.3.0.0
Apache ActiveMQ 5.9.1
Apache ActiveMQ 5.6
Apache ActiveMQ 5.5.1
Apache ActiveMQ 5.5
Apache ActiveMQ 5.4.3
Apache ActiveMQ 5.4.2
Apache ActiveMQ 5.4.1
Apache ActiveMQ 5.4.0
Apache ActiveMQ 5.3.2
Apache ActiveMQ 5.15.5
Apache ActiveMQ 5.15.3
Apache ActiveMQ 5.15
Apache ActiveMQ 5.14.5
Apache ActiveMQ 5.14.2
Apache ActiveMQ 5.14.1
Apache ActiveMQ 5.1.0
不受影响系统:
Apache ActiveMQ 5.15.6
描述:
BUGTRAQ ID: 105335
CVE(CAN) ID: CVE-2018-11775
Apache ActiveMQ是一个用Java编写的开源 消息代理以及完整的Java消息服务(JMS)客户端。
缺少5.15.6之前使用Apache ActiveMQ客户端时的TLS主机名验证,这可能使客户端容易受到使用ActiveMQ客户端和ActiveMQ服务器的Java应用程序之间的MITM攻击。现在默认启用此功能。
<*来源:Alphabot Security公司的Peter Stajckli
链接:https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
http://activemq.apache.org/security-advisories.data/CVE-2018-11775-announcement.txt
*>
建议:
厂商补丁:
Apache
------
Apache已经为此发布了一个安全公告(CVE-2018-11775)以及相应补丁:
CVE-2018-11775:ActiveMQ Client - Missing TLS Hostname Verification
链接:http://activemq.apache.org/security-advisories.data/CVE-2018-11775-announcement.txt
补丁下载:
Oracle
------
Oracle已经为此发布了一个安全公告(CVE-2018-11775)以及相应补丁:
CVE-2018-11775:Oracle Critical Patch Update Advisory - April 2019
链接:https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html