Apache ActiveMQ中间人安全绕过漏洞（CVE-2018-11775）

lnsoftware

2019-06-11

Apache ActiveMQ中间人安全绕过漏洞（CVE-2018-11775）

发布日期：2019-06-10
更新日期：2019-06-11

受影响系统：

Oracle FLEXCUBE Private Banking 2.2 1
Oracle FLEXCUBE Private Banking 2.0.0.0
Oracle FLEXCUBE Private Banking 12.1.0.0
Oracle FLEXCUBE Private Banking 12.0.3.0
Oracle FLEXCUBE Private Banking 12.0.1.0
Oracle Enterprise Repository 12.1.3.0.0
Apache ActiveMQ 5.9.1
Apache ActiveMQ 5.6
Apache ActiveMQ 5.5.1
Apache ActiveMQ 5.5
Apache ActiveMQ 5.4.3
Apache ActiveMQ 5.4.2
Apache ActiveMQ 5.4.1
Apache ActiveMQ 5.4.0
Apache ActiveMQ 5.3.2
Apache ActiveMQ 5.15.5
Apache ActiveMQ 5.15.3
Apache ActiveMQ 5.15
Apache ActiveMQ 5.14.5
Apache ActiveMQ 5.14.2
Apache ActiveMQ 5.14.1
Apache ActiveMQ 5.1.0

不受影响系统：

Apache ActiveMQ 5.15.6

描述：

BUGTRAQ ID: 105335
CVE(CAN) ID: CVE-2018-11775

Apache ActiveMQ是一个用Java编写的开源消息代理以及完整的Java消息服务（JMS）客户端。
缺少5.15.6之前使用Apache ActiveMQ客户端时的TLS主机名验证，这可能使客户端容易受到使用ActiveMQ客户端和ActiveMQ服务器的Java应用程序之间的MITM攻击。现在默认启用此功能。

<*来源：Alphabot Security公司的Peter Stajckli

链接：https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
http://activemq.apache.org/security-advisories.data/CVE-2018-11775-announcement.txt
*>

建议：

厂商补丁：

Apache
------
Apache已经为此发布了一个安全公告（CVE-2018-11775）以及相应补丁:
CVE-2018-11775：ActiveMQ Client - Missing TLS Hostname Verification
链接：http://activemq.apache.org/security-advisories.data/CVE-2018-11775-announcement.txt

补丁下载：

Oracle
------
Oracle已经为此发布了一个安全公告（CVE-2018-11775）以及相应补丁:
CVE-2018-11775：Oracle Critical Patch Update Advisory - April 2019
链接：https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html

activemq apache

lnsoftware

0 关注 0 粉丝 0 动态

相关推荐

Artemis安装

Artemis是下一代的ActiveMQ，也就是说目前的ActiveMQ是5.x，Artemis将是6.x. Broker实例是包含与Broker进程关联的所有配置和运行时数据的目录。官网文档建议我们不要在${ARTEMIS_HOME}下创建实例目录。Yo

胡献根 2020-07-18

mqtt用户名密码activemq

<authenticationUser username="test1" password="123456" groups="users"/>. <authenticationU

胡献根 2020-07-05

ActiveMQ

--消息队列连接池-->

xinglun 2020-06-14

linux配置ActiveMQ消息服务

1 下载ActiveMQ 前往Apache官方网站或者直接引擎搜索 ActiveMQ即可，点击对应的OS版本进行下载操作。至此，ActiveMQ的包已经被正确解压缩。在没有设置环境变量的情况下，我们在系统的任意目录下执行启动activemq的脚本是无效的

jiangtie 2020-06-10

ActiveMq安装以及简单的测试

如果你还没有使用过消息中间件，这篇文章可以带你初步感受一下消息中间件。下面就带大家简单测试一下ActiveMq;先创建一个maven项目；System.out.println("exit code 0 ！！！！！！！！！

onlylixiaobei 2020-06-09

ActiveMQ配置用户认证信息

以apache-activemq-5.15.12-bin.tar.gz为例，修改activemq.xml. -- 配置生产者连接池 -->

xinglun 2020-06-02

CentOS7安装配置ActiveMQ

检查java版本，可以看到系统自带的OpenJDK版本信息。上述所列文件中，noarch文件可以不用删除，删除掉其余java相关文件。将jdk压缩包jdk-8u161-linux-x64.tar.gz上传至CentOS的/usr/soft目录。将下载好的a

方新德 2020-05-31

activeMQ安装

ActiveMQ默认使用的TCP连接端口是61616, 通过查看该端口的信息可以测试ActiveMQ是否成功启动 netstat -an|find “61616”。ActiveMQ默认启动时，启动了内置的jetty服务器，提供一个用于监控ActiveMQ的

Java高知 2020-05-20

activemq

// 1)获取工厂 ConnectionFactory,使用摸摸人的用户名和密码admin/admin, 指定URL. // 4)创建Session ,参数transacted:事务，acknowledgeMode响应模式。// 6)创建消费者，

Java高知 2020-05-08

消息队列

消息队列是指利用高效可靠的消息传递机制进行与平台无关的数据交流，并基于数据通信来进行分布式系统的集成。注册时的短信、邮件通知，减少响应时间；信息发送者和消息接受者无需耦合，比如调用第三方；支持来自Java，C，C ++，C＃，Ruby，Perl，Pytho

Java高知 2020-05-03

24、springboot集成ActiveMQ

消息队列中间件是分布式系统中重要的组件，主要解决应用耦合，异步消息，流量削锋等问题。目前使用较多的消息队列有ActiveMQ、RabbitMQ、Kafka、RocketMQ、MetaMQ等。spring boot提供了对JMS系统的支持；springboo

onlylixiaobei 2020-05-02

从入门到精通的ActiveMQ（三）

前面2篇博客地址如下：《从入门到精通的ActiveMQ（一）》、《从入门到精通的ActiveMQ（二）》。注意到只有Master对外提供了服务，Slave是待机状态。当Master出现故障，ZK内部的选举机制，会让一个Slave升级成Master对外提供服

Java高知 2020-04-22

从入门到精通ActiveMQ（二）

接上一篇《从入门到精通ActiveMQ（一）》，本篇主要讨论的话题是：消息的顺序消费、JMS Selectors、消息的同步/异步接受方式、Message、P2P/PubSub、持久化订阅、持久化消息到MySQL以及与Spring整合等知识。消息的顺序消费

胡献根 2020-04-22

从入门到精通ActiveMQ（二）

在上一篇文章中，我们已经明确知道了ActiveMQ并不能保证消费的顺序性，即便我们使用了消息优先级。而在实际开发中，有些场景又是需要对消息进行顺序消费的，比如：用户从下单、到支付、再到发货等。首先来说，在实际中，我们并不需要的是对全部消息的全局有序消费，我

heweiyabeijing 2020-04-21

从入门到精通的ActiveMQ（一）

话不多说，我们来一起瞧一瞧！client进程和server服务进程都必须可用，如果server出现问题或者网络故障，那么client端会收到异常。需要注意的是，JMS只是定义了Java访问消息中间件的接口，其实就是在包javax.jms中，你会发现这个包下

方新德 2020-04-20

如何避免activeMQ数据丢失

做消息持久化借助 jdbc， kahadb或 leveldb+zookeeper首先将将消息发送设置为持久化发送，然后再借助jdbc kahadb leveldb+zookeeper等做消息的存储来持久化。思想都是发送者将消息发送出去后，消息中心首先将消

胡献根 2020-04-10

ActiveMQ

包含点对点和发布/订阅2种消息模型，提供可靠的消息传输、事务和消息过滤等机制。主要特点包括：1）消息异步接受，消息发送者不需要等待消息接受者的响应；2）消息可靠接受，缺陷消息在中间件可保存，只有接收方收到后才删除消息，多个消息也可以组成原子事物。那么这些个

onlylixiaobei 2020-04-10

activeMQ中queue 与 topic 区别

3.queue模式生产者与消费者之间没有时间相关性，topic模式下生产者和消费者之间有一定的时间相关性，消费者只能接收到订阅之后的生产者发送的消息。

方新德 2020-04-08

ActiveMQ架构设计与实践，需要一万字

xjjdog以前写过很多关于消息队列的文章。今天介绍一下ActiveMQ。ActiveMQ是最常用、特性最丰富的消息中间件，通常用于消息异步通信、削峰解耦等多种场景，是JMS规范的实现者之一。支持大部分消息协议，而且支持XA。它也是比较古老的消息队列，虽然

xuedabao 2020-03-30

centos 安装activeMq

Apache ActiveMQ是一个免费的开源消息代理和集成模式服务器。它支持来自JAVA、c++、C、Python、Perl、PHP等多种语言的客户端和协议。它提供了许多功能，如消息组、虚拟目的地、通配符和组合目的地等。它可以很容易地集成到spring应

heweiyabeijing 2020-03-28

lnsoftware

W3CSchool教程: HTML 教程; CSS 教程; Bootstrap 教程; Javascript 教程; jQuery 教程

后端教程: C 教程; Java 教程; PHP 教程; Python 教程; Go 教程

移动开发: Android 教程; Swift 教程; Kotlin 教程; jQuery Mobile 教程; ionic 教程

关于我们: 新闻动态; 联系方式; 招聘英才; 安科实验室; 帮助与反馈

安科网(Ancii)，中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号京公网安备11010802014868号