Confira !!
Vários problemas de segurança foram descobertos no activemq, um agente de mensagens construído em torno do Java Message Service. CVE-2017-15709
- ------------------------------------------------- ------------------------
Debian LTS Advisory DLA-2583-1 debian-lts@lists.debian.org
https://www.debian.org/lts/security/ Abhijith PA
5 de março de 2021 https://wiki.debian.org/LTS
- ------------------------------------------------- ------------------------
Pacote: activemq
Versão: 5.14.3-3 + deb9u2
CVE ID: CVE-2017-15709 CVE-2018-11775 CVE-2019-0222
CVE-2021-26117
Bug Debian: 890352 908950 982590
Vários problemas de segurança foram descobertos em activemq, uma mensagem
corretor desenvolvido em torno do Java Message Service.
CVE-2017-15709
Ao usar o protocolo OpenWire no activemq, verificou-se que
certos detalhes do sistema (como o sistema operacional e a versão do kernel) são
exposto como texto simples.
CVE-2018-11775
Verificação de nome de host TLS ao usar o cliente Apache ActiveMQ
estava faltando, o que poderia tornar o cliente vulnerável a um MITM
ataque entre um aplicativo Java usando o cliente ActiveMQ e
o servidor ActiveMQ. Isso agora está ativado por padrão.
CVE-2019-0222
O desempacotamento de quadro MQTT corrompido pode levar ao corretor Out of Memory
exceção tornando-o sem resposta
CVE-2021-26117
O módulo de login LDAP ActiveMQ opcional pode ser configurado para usar
acesso anônimo ao servidor LDAP. O contexto anônimo é usado
para verificar uma senha de usuário válida por engano, resultando em nenhuma verificação
na senha.
Para Debian 9 stretch, esses problemas foram corrigidos na versão
5.14.3-3 + deb9u2.
Recomendamos que você atualize seus pacotes activemq.
Para o status de segurança detalhado do activemq, consulte
sua página de rastreador de segurança em:
https://security-tracker.debian.org/tracker/activemq
Mais informações sobre os avisos de segurança do Debian LTS, como se inscrever
essas atualizações para o seu sistema e as perguntas mais frequentes podem ser
encontrado em: https://wiki.debian.org/LTS
Até a próxima !
Nenhum comentário:
Postar um comentário