Apache ActiveMQ: tri kritične ranjivosti zahtevaju hitno ažuriranje
Tri kritične ranjivosti u Apache ActiveMQ dozvoljavaju DoS napade, curenje podataka i eskalaciju privilegija - hitno ažuriranje obavezno.
Šta se desilo?
Bezbednosni istraživači su otkrili tri ozbiljne ranjivosti u Apache ActiveMQ-u koje omogućavaju napadačima da izazovu pad servera, pristupe neovlašćenim podacima i privedu sebi administratorske pristupe. Sve tri greške su klasifikovane kao kritične i utiču na brojne verzije popularne platforme za razmenu poruka.
Koga pogađa?
Organizacije koje koriste Apache ActiveMQ verzije 5.x i 6.x su u riziku. Pogađeni su svi sistemi koji se oslanjaju na ActiveMQ za razmenu poruka, uključujući finansijske institucije, telekomunikacione operatore, proizvođače i sve preduzeće koje koristi ovu infrastrukturu za integraciju aplikacija.
Kako se zaštititi?
- Odmah ažurirajte na verziju 5.19.8 ili 6.2.7 u kojima su sve tri ranjivosti ispravljene
- Ograničite mrežni pristup ActiveMQ brokerima na minimalno potrebne IP adrese
- Recenzija korisničkih privilegija - osigurajte da obični korisnici nemaju administratorski pristup
- Monitoring infrastrukture - pratite neobičnu potrošnju memorije i neočekivane padove sistema
- Zaštitite administrativnu konzolu sa jačim autentifikacijom i pristupom samo sa poverljivih mreža
Tehnički detalji
CVE-2026-53917 omogućava autentifikovanom korisniku da pošalje posebno kreirane OpenWire poruke koje izazivaju prekomjernu potrošnju memorije i pad brokera. CVE-2026-54475 narušava izolaciju privremenih redova i tema, dozvoljavajući neovlašćenim korisnicima pristup porukama drugih aplikacija. CVE-2026-49877 predstavlja problem u Web Console-u gde loše podrazumevana konfiguracija dozvoljava korisnicima sa niskim privilegijama pristup funkcijama namenjenim samo administratorima.
Preporuka Sajber Radara
Ako vašoj organizaciji ActiveMQ čini srce infrastrukture, ažuriranje ne sme biti odloženo. Predlažemo da odmah kreirate test okruženje, proverite kompatibilnost sa vašim aplikacijama, a zatim primenite zakrpe na proizvodnim sistemima sa planiranim vremenskim prozorima.