Apache ActiveMQ es un agente de mensajes de código abierto escrito en Java junto con un cliente completo de Java Message Service (JMS). Proporciona “Funciones empresariales”, que en este caso significa fomentar la comunicación desde más de un cliente o servidor. Los clientes admitidos incluyen Java a través de JMS 1.1, así como varios otros clientes de “idiomas cruzados”. La comunicación se gestiona con características tales como agrupación en clústeres de equipos y capacidad para utilizar cualquier base de datos como proveedor de persistencia JMS además de memoria virtual, caché y persistencia de diario.
El 10 de septiembre, Apache Software Foundation emitió un boletín de seguridad para corregir la vulnerabilidad de ejecución remota de código Apache ActiveMQ (CVE-2020-11998).
En la configuración, si el usuario pasa un mapa de entorno vacío que no contiene credenciales de autenticación a RMIConnectorServer, ActiveMQ será vulnerable a ataques de inyección de código.
Sin la configuración de administración de seguridad, el cliente remoto puede crear un MBean javax.management.loading.MLet y usarlo para crear un MBean nuevo desde cualquier URL. Cuando el usuario carga una aplicación Java de cliente remoto maliciosa, provocará la ejecución de código arbitrario.
Versión afectada
Apache ActiveMQ = 5.15.12
Versión no afectada
Apache ActiveMQ = 5.15.12
Solución
En la actualidad, Apache ha solucionado la vulnerabilidad en la nueva versión, los usuarios afectados actualizan a Apache ActiveMQ 5.15.13.