Argitalpen data: 2019/03/04
Garrantzia:
Kritikoa
Kaltetutako baliabideak:
- Qpid Broker-J, 6.0.0tik 7.0.6ra bitarteko bertsioak eta 7.1.0 bertsioa
Azalpena:
Apache-ren JMeter eta Qpid Broker-Jk dituzten ahultasunak baliatuz, kodearen urruneko exekuzioa eta zerbitzuaren ustekabeko itxiera eragin litezke.
Konponbidea:
- JMeter-en kasuan: azken bertsiora (5.1) eguneratzea eta SSL RMI konexio autentifikatua erabiltzea (modu lehenetsian gaituta). Horrez gain, eskuragarri dagoen azken java bertsioa erabiltzea (8tik 11ra bitartekoa).
- Apache Qpid Broker-Jren kasuan: Qpid Broker-Jren 7.0.7 edo 7.1.1 edo bertsio berriagoetarako eguneratzea.
Xehetasuna:
- Autentifikaziorik gabeko erasotzaile batek RMI konexio bat ezar lezake JMeter-en zerbitzari batera RemoteJMeterEngine erabiliz. Horrela eraso bat abiaraz lezake datu ez fidagarrien deserializazioa erabiliz. Honek soilik eragiten die modu banatuan exekutatzen diren probei. Ahultasun horretarako CVE-2019-0187 identifikatzailea erreserbatu da.
- Apache Qpid Broker-J-k duen zerbitzuaren ukapen erako ahultasun bat baliatuz, autentifikaziorik gabeko erasotzaile batek broker instantzia blokea lezake bereziki diseinatutako komandoak bidaliz, eta AMPQ protokoloaren 1.0 bertsioa baino txikiagoak erabiliz.Ahultasun horretarako CVE-2019-0200 identifikatzailea erreserbatu da.
Etiketak: Eguneraketa, Apache, Ahultasuna