发布编号:TACERT-ANA-2023111308111010
发布时间:2023-11-13 08:55:11
事故类型:ANA-漏洞预警
发现时间:2023-11-10 08:55:11
影响等级:中
[主旨说明:]
【漏洞预警】Apache ActiveMQ存在高风险安全漏洞(CVE-2023-46604),允许攻击者于未经身分鑑别之情况下远端执行任意程式码,请尽速确认并进行更新!
[内容说明:]
转发 国家资安资讯分享与分析中心 NISAC-200-202311-00000033
研究人员发现Apache ActiveMQ之OpenWire协定存在未受信任之资料反序列化(Deserialization of Untrusted Data)漏洞(CVE-2023-46604),允许攻击者于未经身分鑑别之情况下发送恶意字串,使受影响系统进行物件反序列化时执行恶意字串,进而利用此漏洞执行任意程式码。该漏洞目前已遭骇客利用,请尽速确认并进行更新。
[影响平台:]
● ActiveMQ 5.17.0至5.17.5版本
● ActiveMQ 5.16.0至5.16.6版本
● ActiveMQ 5.18.0至5.18.2版本
● ActiveMQ Artemis 2.31.1(含)以下版本
● Apache ActiveMQ Legacy OpenWire Module 5.16.0至5.16.6版本
● Apache ActiveMQ Legacy OpenWire Module 5.17.0至5.17.5版本
● ActiveMQ 5.15.15(含)以下版本
● Apache ActiveMQ Legacy OpenWire Module 5.8.0至5.15.15版本
● Apache ActiveMQ Legacy OpenWire Module 5.18.0至5.18.2版本
[建议措施:]
目前Apache官方已针对此漏洞释出更新程式,请各机关尽速进行版本确认与更新:
(1)ActiveMQ请升级至5.15.16、5.16.7、5.17.6及5.18.3版本
(2)ActiveMQ Artemis请升级至2.31.2版本
[参考资料:]
1. https://activemq.apache.org/news/cve-2023-46604
2. https://activemq.apache.org/security-advisories.data/CVE-2023-46604-announcement.txt
3. https://nvd.nist.gov/vuln/detail/CVE-2023-46604
4. 攻击者瞄准Apache ActiveMQ满分漏洞投放勒索软件
5. 锁定Atlassian Confluence重大漏洞的攻击行动出现,骇客透过勒索软件Cerber加密服务器的档案
(此通报仅在于告知相关资讯,并非为资安事件),如果您对此通报的内容有疑问或有关于此事件的建议,欢迎与我们连络。
教育机构资安通报应变小组
网址:https://info.cert.tanet.edu.tw/
专线电话:07-5250211
网络电话:98400000
E-Mail:service@cert.tanet.edu.tw
