一、漏洞详情
Apache ActiveMQ是一款由Apache软件基金会开发的开源消息中间件,支持JMS、AMQP、MQTT、STOMP等多种消息协议。
近日,监测到Apache ActiveMQ NMS AMQP Client的反序列化漏洞,当与不受信任AMQP服务器交互时,客户端的二进制反序列化可被滥用,攻击者可能执行任意代码。虽在2.1.0引入allow/deny白名单以限制反序列化,但在某些条件下可被绕过。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
Apache ActiveMQ NMS AMQP Client <= 2.3.0
三、修复建议
目前官方已有可更新版本,建议受影响用户升级至最新版本:
Apache ActiveMQ NMS AMQP Client >= 2.4.0
