FERRAMENTAS LINUX: Atualização de segurança do Debian para o activemq, aviso Debian LTS: DLA-2583-1

sexta-feira, 5 de março de 2021

Atualização de segurança do Debian para o activemq, aviso Debian LTS: DLA-2583-1

 

Confira !!

Vários problemas de segurança foram descobertos no activemq, um agente de mensagens construído em torno do Java Message Service. CVE-2017-15709


- ------------------------------------------------- ------------------------

Debian LTS Advisory DLA-2583-1                 debian-lts@lists.debian.org

https://www.debian.org/lts/security/ Abhijith PA

5 de março de 2021 https://wiki.debian.org/LTS

- ------------------------------------------------- ------------------------


Pacote: activemq

Versão: 5.14.3-3 + deb9u2

CVE ID: CVE-2017-15709 CVE-2018-11775 CVE-2019-0222 

                 CVE-2021-26117

Bug Debian: 890352 908950 982590


Vários problemas de segurança foram descobertos em activemq, uma mensagem 

corretor desenvolvido em torno do Java Message Service.


CVE-2017-15709


    Ao usar o protocolo OpenWire no activemq, verificou-se que 

    certos detalhes do sistema (como o sistema operacional e a versão do kernel) são 

    exposto como texto simples.


CVE-2018-11775


    Verificação de nome de host TLS ao usar o cliente Apache ActiveMQ 

    estava faltando, o que poderia tornar o cliente vulnerável a um MITM 

    ataque entre um aplicativo Java usando o cliente ActiveMQ e 

    o servidor ActiveMQ. Isso agora está ativado por padrão.


CVE-2019-0222


    O desempacotamento de quadro MQTT corrompido pode levar ao corretor Out of Memory 

    exceção tornando-o sem resposta


CVE-2021-26117


    O módulo de login LDAP ActiveMQ opcional pode ser configurado para usar

    acesso anônimo ao servidor LDAP. O contexto anônimo é usado

    para verificar uma senha de usuário válida por engano, resultando em nenhuma verificação 

    na senha.


Para Debian 9 stretch, esses problemas foram corrigidos na versão

5.14.3-3 + deb9u2.


Recomendamos que você atualize seus pacotes activemq.


Para o status de segurança detalhado do activemq, consulte

sua página de rastreador de segurança em:

https://security-tracker.debian.org/tracker/activemq


Mais informações sobre os avisos de segurança do Debian LTS, como se inscrever

essas atualizações para o seu sistema e as perguntas mais frequentes podem ser

encontrado em: https://wiki.debian.org/LTS





Fonte

Até a próxima !

Nenhum comentário:

Postar um comentário