Apache ActiveMQ Web Console单击劫持漏洞

CVE编号

CVE-2016-0734

利用情况

暂无

补丁情况

N/A

披露时间

2016-04-08

漏洞描述

Apache ActiveMQ是流行的消息传输和集成模式提供程序。
Apache ActiveMQ 5.0.0 - 5.13.1存在安全漏洞，由于在Web管理控制台中未设置HTTP响应的X-Frame-Options标头。允许攻击者利用此漏洞在控制台中执行未授权操作。

解决建议

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://activemq.apache.org/security-advisories.data/CVE-2016-0734-announcement.txt

参考链接
http://activemq.apache.org/security-advisories.data/CVE-2016-0734-announcement.txt
http://www.openwall.com/lists/oss-security/2016/03/10/11
http://www.securityfocus.com/bid/84321
http://www.securitytracker.com/id/1035327
https://access.redhat.com/errata/RHSA-2016:1424
https://lists.apache.org/thread.html/a859563f05fbe7c31916b3178c2697165bd9bbf5...

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	apache	activemq	5.0.0	-
	运行在以下环境
	应用	apache	activemq	5.1.0	-
	运行在以下环境
	应用	apache	activemq	5.10.0	-
	运行在以下环境
	应用	apache	activemq	5.10.1	-
	运行在以下环境
	应用	apache	activemq	5.10.2	-
	运行在以下环境
	应用	apache	activemq	5.11.0	-
	运行在以下环境
	应用	apache	activemq	5.11.1	-
	运行在以下环境
	应用	apache	activemq	5.11.2	-
	运行在以下环境
	应用	apache	activemq	5.12.0	-
	运行在以下环境
	应用	apache	activemq	5.12.1	-
	运行在以下环境
	应用	apache	activemq	5.12.2	-
	运行在以下环境
	应用	apache	activemq	5.13.0	-
	运行在以下环境
	应用	apache	activemq	5.2.0	-
	运行在以下环境
	应用	apache	activemq	5.3.0	-
	运行在以下环境
	应用	apache	activemq	5.3.1	-
	运行在以下环境
	应用	apache	activemq	5.3.2	-
	运行在以下环境
	应用	apache	activemq	5.4.0	-
	运行在以下环境
	应用	apache	activemq	5.4.1	-
	运行在以下环境
	应用	apache	activemq	5.4.2	-
	运行在以下环境
	应用	apache	activemq	5.4.3	-
	运行在以下环境
	应用	apache	activemq	5.5.0	-
	运行在以下环境
	应用	apache	activemq	5.5.1	-
	运行在以下环境
	应用	apache	activemq	5.6.0	-
	运行在以下环境
	应用	apache	activemq	5.7.0	-
	运行在以下环境
	应用	apache	activemq	5.8.0	-
	运行在以下环境
	应用	apache	activemq	5.9.0	-
	运行在以下环境
	应用	apache	activemq	5.9.1	-
	运行在以下环境
	系统	debian	DPKG	*		Up to (excluding) 0

CVSS3评分 6.1

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 无
• 影响范围 已更改
• 用户交互 需要
• 可用性 无
• 保密性 低
• 完整性 低

CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N CWE-ID 漏洞类型