Está usted visitando una publicación en la hemeroteca de CSIRT-CV. Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
05/03/2019
Vulnerabilitats en JMeter i Qpid Broker-J d'Apache.
Google llança pegat de seguretat per a mitigar una vulnerabilitat crítica que permetria l'execució de Vulnerabilitats en JMeter i Qpid Broker-J d'Apatxe podrien permetre l'execució remota de codi i el tancament inesperat del servei.
Risc: Crític
Un atacant no autenticat podria establir una connexió RMI a un servidor de JMeter usant RemoteJMeterEngine i procedir amb un atac usant deserialització de dades no de confiança. Això només afecta les proves que s'executen en manera distribuïda. S'ha reservat l'identificador CVE-2019-0187 per a aquesta vulnerabilitat.
Una vulnerabilitat de denegació de servei en Apache Qpid Broker-J, podria permetre a un atacant no autenticat bloquejar la instància del broker, mitjançant l'enviament de comandos especialment dissenyats, utilitzant versions del protocol AMPQ inferiors a 1.0. S'ha reservat l'identificador CVE-2019-0200 per a aquesta vulnerabilitat.
Sistemes Afectats:
JMeter versions 4.0 i 5.0
Qpid Broker-J des de la versió 6.0.0 fins a la 7.0.6 i versió 7.1.0
Referències:
CVE-2019-0187
Solució:
Per a JMeter: actualitzar a l'última versió (5.1) i usar la connexió SSL RMI autenticada (habilitada per defecte). A més utilitzar l’última versió de java disponible (des de la 8 fins a la 11).
Per a Apache Qpid Broker-J: actualitzar a les versions 7.0.7 o 7.1.1 o posteriors de Qpid Broker-J.