【安全通告】 Apache ActiveMQ未授权访问漏洞安全风险通告(CVE-2021-26117)
摘要:
尊敬的腾讯云用户,您好!近日,腾讯云安全运营中心监测到,Apache ActiveMQ披露出未授权访问漏洞,漏洞编号CVE-2021-26117,可造成LDAP未授权访问。为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。漏洞详情
Apache ActiveMQ是Apache软件基金会所研发的开放源码消息中间件。
官方公告称ActiveMQ LDAP登录模块可被配置为使用匿名访问。在这种情况下,远程攻击者在只提供有效的用户名时,无需提供密码,即可获得对系统的未授权访问。
风险等级高漏洞风险攻击者可通过该漏洞未授权登陆相关系统获取敏感信息影响版本
Apache ActiveMQ Artemis < 2.16.0
Apache ActiveMQ < 5.16.1
Apache ActiveMQ < 5.15.14
安全版本
Apache ActiveMQ Artemis >= 2.16.0
Apache ActiveMQ >= 5.16.1
Apache ActiveMQ >= 5.15.14
修复建议
请检查所使用的软件版本是否受影响,并从官方渠道升级到安全版本或更新版本
ActiveMQ官方网站:
【备注】:建议您在升级前做好数据备份工作,避免出现意外漏洞参考
http://activemq.apache.org/security-advisories.data/CVE-2021-26117-announcement.txt
