Apache ActiveMQ 管理員控制檯未授權訪問(開啟身份驗證並修改管理使用者名稱和密碼)
阿新 • • 發佈:2021-01-29
技術標籤:activemq
- 漏洞概述:
Apache ActiveMQ是美國阿帕奇(Apache)軟體基金會所研發的一套開源的訊息中介軟體,它支援Java訊息服務、叢集、Spring Framework等。
Apache ActiveMQ管理控制檯的預設管理使用者名稱和密碼分別為admin和admin,使用者可以未經授權使用預設憑據直接訪問伺服器,導致敏感資訊洩露,並進一步進行攻擊。 - 修復方法
1、編輯 ${ACTIVEMQ_HOME}/conf/jetty.xml開啟身份驗證,將authenticate屬性改為true:
<property name="authenticate" value="true" />
2、編輯檔案conf/jetty-realm.properties來更改Apache ActiveMQ的預設管理使用者名稱和密碼,格式如下: