漏洞标题
Apache ActiveMQ:默认配置下,Jolokia和REST API并未得到保护
漏洞描述信息
在Apache ActiveMQ 6.x中,默认配置并未保护API Web上下文(其中包含Jolokia JMX REST API和Message REST API)。
这意味着任何人都可以无需任何身份验证即可使用这些层。潜在地,任何人都可以使用Jolokia JMX REST API与代理交互,或者使用Message REST API发送/接收消息或清除/删除目的地。
为了解决这个问题,用户可以更新默认的conf/jetty.xml配置文件以添加身份验证要求:
```xml
<bean id="securityConstraintMapping" class="org.eclipse.jetty.security.ConstraintMapping">
<property name="constraint" ref="securityConstraint" />
<property name="pathSpec" value="/" />
</bean>
```
或者,我们鼓励用户升级到Apache ActiveMQ 6.1.2,其中默认配置已默认包含身份验证。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
关键功能的认证机制缺失
漏洞标题
Apache ActiveMQ: Jolokia and REST API were not secured with default configuration
漏洞描述信息
In Apache ActiveMQ 6.x, the default configuration doesn't secure the API web context (where the Jolokia JMX REST API and the Message REST API are located).
It means that anyone can use these layers without any required authentication. Potentially, anyone can interact with the broker (using Jolokia JMX REST API) and/or produce/consume messages or purge/delete destinations (using the Message REST API).
To mitigate, users can update the default conf/jetty.xml configuration file to add authentication requirement:
<bean id="securityConstraintMapping" class="org.eclipse.jetty.security.ConstraintMapping">
<property name="constraint" ref="securityConstraint" />
<property name="pathSpec" value="/" />
</bean>
Or we encourage users to upgrade to Apache ActiveMQ 6.1.2 where the default configuration has been updated with authentication by default.
CVSS信息
CVSS:3.1/AV:A/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:H
漏洞类别
不安全的默认资源初始化
漏洞标题
Apache ActiveMQ 安全漏洞
漏洞描述信息
Apache ActiveMQ是美国阿帕奇(Apache)基金会的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等。 Apache ActiveMQ 6.x版本存在安全漏洞,该漏洞源于默认配置无法保护 API Web 环境。
CVSS信息
N/A
漏洞类别
其他