企业资料通过认证
Apache HTTP Server(简称Apache)是Apache软件基金会的一个开放源码的网页服务器,可以在大多数计算机操作系统中运行,安徽华诚商标事务有限公司。由于其多平台和安全性被广泛使用,是最流行的Web服务器端软件之一。
9月10日,Apache软件基金会发布了安全公告更新,修复了Apache ActiveMQ 消息中间件产品爆出的漏洞。以下是漏洞详情:
在提交防止JMX(Java Management Extensions,即Java管理扩展,是一个为应用程序、设备、系统等植入管理功能的框架)重新绑定中引入了回归。通过将空的环境映射传递给RMIConnectorServer,而不是包含身份验证凭据会使ActiveMQ面临以下攻击:
如果没有安全管理,远程客户端可以创建javax.management.加载.MLet MBean和使用它可以从任意url创建新的mbean。也就是说一个恶意的远程客户端可以使Java应用程序执行任意代码。
Apache ActiveMQ使用LocateRegistry.createRegistry()以创建JMX RMI注册并将服务器绑定到“jmxrmi”条目。这是可能的在没有身份验证的情况下连接到注册表并调用重新绑定方法将jmxrmi重新绑定到其他对象。如果攻击者创建另一个服务器代理并绑定原来的对象,那么攻击者则成为一个有效的合法用户连接。台州市黄岩崟广塑模有限公司,