- 漏洞概述:
Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等。
Apache ActiveMQ管理控制台的默认管理用户名和密码分别为admin和admin,用户可以未经授权使用默认凭据直接访问服务器,导致敏感信息泄露,并进一步进行攻击。 - 修复方法
1、编辑 ${ACTIVEMQ_HOME}/conf/jetty.xml开启身份验证,将authenticate属性改为true:
<property name="authenticate" value="true" />
2、编辑文件conf/jetty-realm.properties来更改Apache ActiveMQ的默认管理用户名和密码,格式如下: