BDU:2025-06024
Apache Software Foundation, ООО «Ред Софт» ActiveMQ, РЕД ОС
2025-05-07
Уязвимость обработчика команд OpenWire программной платформы Apache ActiveMQ связана с отсутствием контроля вводимых пользователем данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании путём отправки специально сформированных пакетов
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры: - использование взаимного TLS соединения для предотвращения попыток эксплуатации уязвимости; - отключение/удаление неиспользуемых учётных записей пользователей; - использование средств межсетевого экранирования для ограничения возможности удалённого доступа к платформе; - ограничение возможности подключения к программной платформе путем внедрения механизма «белых» списков; - использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций: Для Apache ActiveMQ: https://lists.apache.org/thread/8hcm25vf7mchg4zbbhnlx2lc5bs705hg
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/