云安全日报200914：Apache发现远程执行任意代码漏洞，需要尽快升

Apache HTTP Server（简称Apache）是Apache软件基金会的一个开放源码的网页服务器，可以在大多数计算机操作系统中运行，由于其多平台和安全性被广泛使用，是最流行的Web服务器端软件之一。

9月10日，Apache软件基金会发布了安全公告更新，修复了Apache ActiveMQ 消息中间件产品爆出的漏洞。以下是漏洞详情：

漏洞详情

Apache ActiveMQ是美国阿帕奇（Apache）软件基金会的一套开源的消息中间件，它支持Java消息服务、集群、Spring Framework等。 Apache ActiveMQ 中存在安全漏洞。

1.CVE-2020-11998 严重程度：中等

在提交防止JMX(Java Management Extensions，即Java管理扩展,是一个为应用程序、设备、系统等植入管理功能的框架)重新绑定中引入了回归。通过将空的环境映射传递给RMIConnectorServer，而不是包含身份验证凭据会使ActiveMQ面临以下攻击：

https://docs.oracle.com/javase/8/docs/technonotes/guides/management/agent.html

如果没有安全管理，远程客户端可以创建javax.management.加载.MLet MBean和使用它可以从任意url创建新的mbean。也就是说一个恶意的远程客户端可以使Java应用程序执行任意代码。

受影响产品

仅影响Apache ActiveMQ 5.15.12 版本

解决方案

升级到Apache ActiveMQ 5.15.13可修复

2. CVE-2020-13920 严重程度：中等

Apache ActiveMQ使用LocateRegistry.createRegistry（）以创建JMX RMI注册并将服务器绑定到“jmxrmi”条目。这是可能的在没有身份验证的情况下连接到注册表并调用重新绑定方法将jmxrmi重新绑定到其他对象。如果攻击者创建另一个服务器代理并绑定原来的对象，那么攻击者则成为一个有效的合法用户连接。

受影响产品

5.15.12之前的Apache ActiveMQ版本

解决方案

升级到Apache ActiveMQ 5.15.12可修复

查看更多漏洞信息 以及升级请访问官网：

http://activemq.apache.org/security-advisories.data/