Apache Foundation dicht ernstig lek in Apache ActiveMQ
De Apache Foundation waarschuwt voor een kritieke kwetsbaarheid in Apache ActiveMQ (AMQ-9370). Het gaat om een Remote Code Execution, waarmee kwaadwillenden op afstand code kunnen uitvoeren op systemen.
"Apache ActiveMQ is kwetsbaar voor Remote Code Execution. De kwetsbaarheid kan een aanvaller op afstand met netwerktoegang tot een broker in staat stellen arbitaire shell-commando's uit te voeren door geserialiseerde klassen in het OpenWire-protocol te manipuleren, zodat de broker iedere klasse op het klassenpad kan initiëren", meldt de Apache Foundation in een security advisory.
De volgende versies zijn kwetsbaar:
- Apache ActiveMQ 5.18.0 voor 5.18.3
- Apache ActiveMQ 5.17.0 voor 5.17.6
- Apache ActiveMQ 5.16.0 voor 5.16.7
- Apache ActiveMQ voor 5.15.16
- Apache ActiveMQ Legacy OpenWire Module 5.18.0 voor 5.18.3
- Apache ActiveMQ Legacy OpenWire Module 5.17.0 voor 5.17.6
- Apache ActiveMQ Legacy OpenWire Module 5.16.0 voor 5.16.7
- Apache ActiveMQ Legacy OpenWire Module 5.8.0 voor 5.15.16
Het lek is verholpen in versie 5.15.16, 5.16.7, 5.17.6 of 5.18.3
Meer over Security
Over Wouter Hoeffnagel
