阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 4072阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】ActiveMQ未授权访问漏洞及加固

级别: 论坛版主
发帖
241
云币
478
漏洞描述: Klqte*!  
ActiveMQ是目前较为流行的一款开源消息服务。默认情况下,ActiveMQ服务是没有配置安全参数,恶意人员利用默认配置弱点实现远程命令执行攻击,获取服务器权限,从而导致数据泄露事件发生。 P.O/ZW>g  
ybpU?n  
h($Jo  
漏洞等级: M.KXDD#O  
高危 e)]DFP[ n  
_kQOax{c/  
Z/b,aZhB  
漏洞利用方式: ^Rmrre`uU  
黑客可以直接在互联网远程利用获取服务器权限。 G3de<?K.[V  
n$3w=9EX *  
<"!'>ZUt  
漏洞修复方案: );fPir?+  
ActiveMQ的安全配置分为控制台安全配置和后台安全配置。控制台安全配置是指用户通过浏览器登录ActiveMQ管理界面,对ActiveMQ进行管理的一个安全配置;主要是添加用户和密码。后台安全配置是指程序通过ActiveMQ发送消息的一个安全配置。 9,0}}3J  
*5R91@xt  
o.>Yj)U  
1.强烈建议不要将管理后台开放到互联网上,您可以使用ECS安全组策略做好访问控制,默认策略为拒绝所有通信,根据业务发布情况仅开放需要对外用户提供的服务,并控制好访问源IP。 k:CSH{s5{  
ECS安全组配置手册 WFMQ;  
2.ActiveMQ分为web控制台的安全配置和队列/主题服务的访问安全配置: _H$Z }2g<z  
ActiveMQ web管理控制台安全设置 j9 &0/ ~/  
RJLhR_t7n  
n16TQe"8  
(1)修改端口号: s:Z1 ZAxv  
ActiveMQ的管理后台 http://localhost:8161/admin 默认用户名密码admin,admin 3E:+DF-Z\  
默认端口8061,采用的JETTY服务器,所以修改端口和密码也是改JETTY的配置jetty.xml、jetty-realm.xml mJS-x-@  
密码改为weigq 端口改为8191 7dXh,sD  
注意: Ox+}JB [  
  1. <bean id="securityConstraint" class="org.eclipse.jetty.util.security.Constraint">
  2. <property name="name" value="BASIC" />
  3. <property name="roles" value="admin" />
  4. <property name="authenticate" value="true" />
  5. </bean>
Q?-uJ1J  
第三个属性authenticate要为true. ]8EkZC  
端口部分: dhI+_z   
  1. <bean id="Server" class="org.eclipse.jetty.server.Server" init-method="start"
  2. destroy-method="stop">
  3. <property name="connectors">
  4. <list>
  5. <bean id="Connector" class="org.eclipse.jetty.server.nio.SelectChannelConnector">
  6. <property name="port" value="8191" />
  7. </bean>
K${CHKFf  
Oa -~}hN  
R|dSjEs  
(2)在修改用户名和密码(用户名改为parry,密码改成parry123) 60%EmX ;  
建议使用十位以上数字+字母+特殊符号的强密码 ; ,\E5et4  
D}EH9d  
控制台的登录用户名密码保存在conf/jetty-realm.properties文件中,内容如下: W[.UM  
  1. # username: password [,rolename ...]用户名和密码的格式:
  2. 用户名 : 密码 ,角色名
  3. parry: parrYd@#1w%6, admin
  4. user: user, user
_ +A$6l  
'K3%@,O  
"aeKrMgc6V  
- 设置连接ActiveMQ的用户名和密码 vX"jL  
gBXJ/BW$y  
如果不设置ActiveMQ安全机制的话,任何人如果知道我们的ActiveMQ服务的IP、端口和消息地址,都可以接受和发送消息。 KS(Ms*k;'  
推荐最简单的配置,在conf/activemq.xml文件的broker标签里的<systemUsage>标签前加入如下内容: Gm'Ch}E  
  1. <plugins>
  2.     <simpleAuthenticationPlugin>
  3.       <users>
  4.           <authenticationUser username="parry" password="parry123" groups="users,admins"/>
  5.       </users>
  6.     </simpleAuthenticationPlugin>
Pna2IB+  
QD*(wj  
注意:必须要在<systemUsage>标签前,否则ActiveMQ服务重启会报错。 )lB*] n`Z]  
"AMsBvzgo  
所有配置完毕后重启ActiveMQ服务即可。 "=XRonQZ  
提示:为避免数据丢失,升级前请做好备份,或ECS建立硬盘快照。 8:4`q 9  
nv"D  
^tKJ}}  
配置方案有多种,详细可参考:http://activemq.apache.org/security.html 9 A1w5|X  
5}_DyoV  
t&Z:G<;  
[ 此帖被正禾在2018-02-06 09:48重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 90 - 48 = ?
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)