【已复现】Apache ActiveMQ 远程代码执行漏洞(QVD-2023-30790)安全风 ...

发布网友 发布时间：1天前

我来回答

共1个回答

热心网友 时间：1天前

Apache ActiveMQ是一个开源的消息代理和集成模式服务器，由Apache Software Foundation管理。它基于Java消息服务（JMS）API，用于实现消息中间件，连接不同的应用程序或系统。然而，近期奇安信CERT监测到一个远程代码执行漏洞(QVD-2023-30790)，影响了Apache ActiveMQ中特定版本的服务器。攻击者可以通过TCP端口61616（默认）访问权限，发送恶意数据执行任意代码。

此漏洞影响了以下版本的Apache ActiveMQ：

- Apache ActiveMQ < 5.18.3
- Apache ActiveMQ < 5.17.6
- Apache ActiveMQ < 5.16.7
- Apache ActiveMQ < 5.15.16

官方已通过限制反序列化类只能为Throwable的子类的方式修复了此漏洞。受影响的用户应尽快更新到以下版本：

- Apache ActiveMQ >= 5.18.3
- Apache ActiveMQ >= 5.17.6
- Apache ActiveMQ >= 5.16.7
- Apache ActiveMQ >= 5.15.16

奇安信提供了多种解决方案来应对此漏洞：

1. **奇安信自动化渗透测试系统检测方案**：请将插件版本和指纹版本升级到20231024163720以上版本。系统管理->升级管理->插件升级（指纹升级），选择“网络升级”或“本地升级”。规则名称：Apache ActiveMQ QVD-2023-30790 远程代码执行漏洞。

2. **奇安信开源卫士**：奇安信开源卫士20231026. 424版本已支持检测Apache ActiveMQ 远程代码执行漏洞（QVD-2023-30790）。

3. **奇安信网神网络数据传感器系统**：该系统已具备该漏洞的检测能力，规则ID为：52564。建议用户尽快升级检测规则库至2310252330以上。

4. **奇安信天眼检测方案**：奇安信天眼新一代安全感知系统已能够有效检测针对该漏洞的攻击。请将规则版本升级到3.0.1026.14083或以上版本。规则ID及规则名称：0x6030，Apache ActiveMQ 远程代码执行漏洞(QVD-2023-30790)。

奇安信提供了详细的处置建议和检测方案，用户应按照官方指引进行更新和检测，以确保系统的安全性和稳定性。