Apache ActiveMQ URL请求源码泄露漏洞

2010-04-26T00:00:00
ID SSV:19511
Type seebug
Reporter Root
Modified 2010-04-26T00:00:00

Description

BUGTRAQ ID: 39636

Apache ActiveMQ是流行的消息传输和集成模式提供程序。

Apache ActiveMQ中存在输入验证错误,用户在提交给admin/index.jsp、admin/queues.jsp、admin /topics.jsp等管理页面的URL请求后附加“//”就可以读取JSP页面源码。 0 Apache Group ActiveMQ 5.3.1 临时解决方法:

  1. 到${ACTIVEMQ_HOME}/webapps}}目录下
  2. 创建名为static的新目录 - mkdir static
  3. 将index.html文件移动到该目录下 - mv index.html static/
  4. 更改ResourceHandler使用static目录,编辑{{${ACTIVEMQ_HOME}/conf/jetty.xml将 ResourceHandler定义更改为

<bean class="org.mortbay.jetty.handler.ResourceHandler"> <property name="welcomeFiles"> <list> <value>index.html</value> </list> </property> <property name="resourceBase" value="${activemq.base}/webapps/static"/> </bean>

厂商补丁:

Apache Group

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

https://repository.apache.org/content/repositories/snapshots/org/apache/activemq/apache-activemq/5.4-SNAPSHOT/apache-activemq-5.4-SNAPSHOT-bin.tar.gz

                                        
                                            
                                                http://www.example.com:8161//admin/index.jsp
http://www.example.com:8161//admin/queues.jsp
http://www.example.com:8161//admin/topics.jsp