Apache ActiveMQ opravuje 1 zranitelnost

Připadá Vám tento report dobře zpracovaný? *

Ano

Používáte tuto technologii? *

Ano

Byl pro Vás tento report užitečný?

Ano

Budeme rádi, pokud se rozepíšete:

Bezpečnostní služby poskytované organizací CESNET jsou navrženy jako významná podpora při zajišťování kybernetické bezpečnosti připojených organizací. Přestože usilujeme o poskytování kvalitních a spolehlivých služeb, není možné garantovat absolutní pokrytí všech bezpečnostních zranitelností. Naše služby by měly být vnímány jako doplněk k vlastnímu bezpečnostnímu řízení organizací, nikoli jako jeho náhrada. Klient nese konečnou odpovědnost za zabezpečení svého prostředí.

[TLP:CLEAR] Apache ActiveMQ opravuje 1 zranitelnost

Apache verzemi 6.1.6, 5.19.0, 5.18.7, 5.17.7 a 5.16.8 opravuje zranitelnost v produktu ActiveMQ [1][2].

Apache ActiveMQ - DoS (CVE-2025-27533)

Neautentizovanému vzdálenému útočníkovi je kvůli nedostatečné validaci velikosti bufferu při deserializaci OpenWire zpráv umožněno vykonat na brokera útok DoS. To může ovlivnit dostupnost závislých aplikací a služeb – zejména v případech, kdy není nasazeno vzájemné TLS (mTLS), které by přístup omezilo pouze na důvěryhodné klienty. Není-li možná okamžitá aktualizace na opravenou verzi, je existujícímu uživateli doporučeno riziko dočasně mitigovat implementací mTLS na zranitelném brokeru [1][2].

Zranitelnost se nachází v produktu Apache ActiveMQ ve verzích (>=5.16.0 AND <5.16.8) OR (>=5.17.0 AND <5.17.7) OR (>=5.18.0 AND <5.18.7) OR (>=6.0.0 AND <6.1.6).

Více informací:

CVE-2025-27533 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-789: Memory Allocation with Excessive Size Value at cwe.mitre.org

Zranitelnost byla veřejně oznámena 6. 5. 2025.

Odkazy

Za CESNET-CERTS Michaela Ručková dne 7. 5. 2025.

Zpětná vazba k reportu

[TLP:CLEAR] Apache ActiveMQ opravuje 1 zranitelnost

Apache ActiveMQ - DoS (CVE-2025-27533)

Odkazy