Bulletin d'alerte Debian

DLA-2583-1 activemq -- Mise à jour de sécurité pour LTS

Date du rapport :
8 mars 2021
Paquets concernés :
activemq
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 890352, Bogue 908950, Bogue 982590.
Dans le dictionnaire CVE du Mitre : CVE-2017-15709, CVE-2018-11775, CVE-2019-0222, CVE-2021-26117.
Plus de précisions :

Plusieurs problèmes de sécurité ont été découverts dans activemq, un courtier de message construit autour de Java Message Service.

  • CVE-2017-15709

    Lors de l’utilisation du protocole OpenWire dans activemq, il a été découvert que certains détails du système (tels que le système d’exploitation et la version du noyau) sont exposés en texte simple.

  • CVE-2018-11775

    La vérification du nom d’hôte TLS lors de l’utilisation du client ActiveMQ d’Apache est absente, ce qui pourrait rendre le client vulnérable à une attaque de l’homme du milieu entre l’application Java utilisant le client ActiveMQ et le serveur ActiveMQ. Cette vérification est désormais activée par défaut.

  • CVE-2019-0222

    Une déconversion de paramètre de trame MQTT corrompue peut conduire à négocier une exception d’épuisement de mémoire la rendant inactive.

  • CVE-2021-26117

    Le module facultatif d’ActiveMQ de connexion LDAP peut être configuré pour utiliser un accès anonyme au serveur LDAP. Le contexte d’anonymisation est utilisé pour vérifier un mot de passe valable lors d’erreur, aboutissant à aucune vérification du mot de passe.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 5.14.3-3+deb9u2.

Nous vous recommandons de mettre à jour vos paquets activemq.

Pour disposer d'un état détaillé sur la sécurité de activemq, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/activemq.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.