Am 25. Oktober 2023 wurde eine kritische Schwachstelle in dem Open Source Message-Broker Apache ActiveMQ bekanntgegeben. Die Schwachstelle wird mit der CVE-Nummer CVE-2023-46604 geführt und hat eine CVSS-Bewertung von 10.0 ("kritisch"). Sie ermöglicht entfernten Angreifenden mit Netzwerkzugriff auf einen ActiveMQ Broker willkürliche Shell-Befehle auszuführen. Durch manipulierte serialisierte Klassentypen im OpenWire-Protokoll, können beliebige Klassen im Klassenpfad instanziiert werden. Hervorgerufen wird die Schwachstelle durch unsichere Deserialisierung (CWE-502). [...]
Welche Verionen sind betroffen:
- Apache ActiveMQ 5.18.0 vor 5.18.3
- Apache ActiveMQ 5.17.0 vor 5.17.6
- Apache ActiveMQ 5.16.0 vor 5.16.7
- Apache ActiveMQ vor 5.15.16
- Apache ActiveMQ Legacy OpenWire Module 5.18.0 vor 5.18.3
- Apache ActiveMQ Legacy OpenWire Module 5.17.0 vor 5.17.6
- Apache ActiveMQ Legacy OpenWire Module 5.16.0 vor 5.16.7
- Apache ActiveMQ Legacy OpenWire Module 5.8.0 vor 5.15.16
Was ist zu tun:
Für die Behebung dieser Schwachstellen stehen bereits Patches zur Verfügung. Eine detaillierte Übersicht über IOCs (Indicators of Compromise) sowie weiterführende Informationen können Sie dem anhängigen Dokument des BSI entnehmen.