近日，金山云安全应急响应中心监测到Apache官方发布安全更新，修复了ActiveMQ 的一个远程代码执行漏洞CVE-2020-13920。

该漏洞影响范围广，请相关用户及时自查并采取防护措施，避免遭受损失。

漏洞描述

Apache ActiveMQ是目前流行的开源、多协议，基于Java的消息服务器。因其速度快、支持众多跨语言平台和协议、企业集成模式易用性高等特性，被广泛使用。

pache ActiveMQ使用LocateRegistry.createRegistry（）创建JMX RMI注册表并将服务器绑定到“jmxrmi”条目。但上述这一绑定操作未进行身份验证。如果攻击者创建了另一台服务器来代理原始服务器并对其进行绑定，就能够在用户使用时拦截身份认证凭据成为合法用户，从而进行远程代码执行。

风险等级

中危

影响版本

Apache ActiveMQ< 5.15.12

修复建议

官方已经发布安全更新，建议受影响的用户尽快升级到5.15.13版本

http://activemq.apache.org/activemq-51513-release

参考链接

[1] https://nvd.nist.gov/vuln/detail/CVE-2020-13920

[2] http://activemq.apache.org/

北京金山云网络技术有限公司

2020/09/15