Tilkynnt var um alvarlegan veikleika í ActiveMQ hjá Apache. ActiveMQ er skilaboðamiðlari og er notaður sem millihugbúnaður í fjölda forrita. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikinn hefur verið lagfærður.
CVE-2023-46604
Veikleikinn er með CVSSv3 veikleikastig upp á 10 og gerir ógnaraðila kleift að fjarkeyra kóða á tæki sem ActiveMQ er uppsett á, ekki er æskilegt að hafa ActiveMQ aðgengilegt frá internetinu [1].
Eftirfarandi kerfi eru veik fyrir gallanum
Apache ActiveMQ
<5.15.16, 5.16.0-5.16.6, 5.17.0-5.17.5, 5.18.0-5.18.2
Apache ActiveMQ Legacy OpenWire Module
5.8.0-5.15.15, 5.16.0-5.16.6, 5.17.0-5.17.5, 5.18.0-5.18.2
Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum
Apache ActiveMQ
5.15.16, 5.16.67, 5.17.7, 5.18.3
Apache ActiveMQ Legacy OpenWire Module
5.15.16, 5.16.67, 5.17.7, 5.18.3
Tilvísanir
[1] https://activemq.apache.org/security-advisories.data/CVE-2023-46604-announcement.txt
