Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
05/03/2019
Vulnerabilitats en JMeter i Qpid Broker-J d'Apache.
Google llança pegat de seguretat per a mitigar una vulnerabilitat crítica que permetria l'execució de Vulnerabilitats en JMeter i Qpid Broker-J d'Apatxe podrien permetre l'execució remota de codi i el tancament inesperat del servei.Risc: Crític
- Un atacant no autenticat podria establir una connexió RMI a un servidor de JMeter usant RemoteJMeterEngine i procedir amb un atac usant deserialització de dades no de confiança. Això només afecta les proves que s'executen en manera distribuïda. S'ha reservat l'identificador CVE-2019-0187 per a aquesta vulnerabilitat.
- Una vulnerabilitat de denegació de servei en Apache Qpid Broker-J, podria permetre a un atacant no autenticat bloquejar la instància del broker, mitjançant l'enviament de comandos especialment dissenyats, utilitzant versions del protocol AMPQ inferiors a 1.0. S'ha reservat l'identificador CVE-2019-0200 per a aquesta vulnerabilitat.
- JMeter versions 4.0 i 5.0
- Qpid Broker-J des de la versió 6.0.0 fins a la 7.0.6 i versió 7.1.0
CVE-2019-0187
Solució:- Per a JMeter: actualitzar a l'última versió (5.1) i usar la connexió SSL RMI autenticada (habilitada per defecte). A més utilitzar l’última versió de java disponible (des de la 8 fins a la 11).
- Per a Apache Qpid Broker-J: actualitzar a les versions 7.0.7 o 7.1.1 o posteriors de Qpid Broker-J.
Font: Incibe-cert