Plattform
java
Komponente
org.apache.activemq:activemq-client
Behoben in
5.19.4
6.2.4
5.19.4
6.2.4
5.19.4
6.2.4
5.19.4
6.2.4
5.19.4
CVE-2026-39304 describes a Denial of Service (DoS) vulnerability within Apache ActiveMQ Client, ActiveMQ Broker, and ActiveMQ. This vulnerability arises from improper handling of TLSv1.3 handshake KeyUpdates, allowing a client to exhaust the broker's memory resources. Versions affected are those prior to 5.9.1, and a fix is available in version 5.19.4.
Die CVE-2026-39304 in Apache ActiveMQ Client, Apache ActiveMQ Broker und Apache ActiveMQ stellt ein Denial-of-Service (DoS)-Risiko dar. Insbesondere verarbeiten die NIO SSL-Transports von ActiveMQ TLSv1.3-Handshake-KeyUpdates, die von Clients ausgelöst werden, nicht korrekt. Ein Angreifer kann dies ausnutzen, indem er schnell eine Reihe von Updates auslöst, wodurch der Broker seine gesamte Speicherkapazität im SSL-Engine erschöpft. Dies führt zu einem DoS, der verhindert, dass ActiveMQ Nachrichten verarbeitet und Anfragen beantwortet. Die CVSS-Schweregrad ist 7,5, was ein hohes Risiko anzeigt. Es ist entscheidend, auf Version 5.19.4 oder höher zu aktualisieren, um diese Bedrohung zu mindern.
Ein Angreifer, der die Möglichkeit hat, eine TLSv1.3-Verbindung mit dem ActiveMQ-Broker herzustellen, kann diese Schwachstelle ausnutzen. Dies könnte von einer Maschine innerhalb desselben Netzwerks wie der Broker oder, wenn der Broker dem Internet ausgesetzt ist, von jedem beliebigen Ort aus erfolgen. Der Angreifer würde eine Sequenz von Anfragen senden, die TLSv1.3-KeyUpdates auslösen und so den SSL-Engine des Brokers überlasten. Die Ausnutzung erfordert keine Authentifizierung, was das Risiko erhöht. Die einfache Ausnutzbarkeit in Kombination mit den potenziellen Auswirkungen einer Dienstunterbrechung machen diese Schwachstelle zu einem erheblichen Problem.
Organizations utilizing Apache ActiveMQ for message queuing, particularly those using TLSv1.3 for secure communication, are at risk. Environments with legacy ActiveMQ deployments running older versions (≤5.9.1) are especially vulnerable. Any system relying on ActiveMQ for critical business processes faces potential disruption if this vulnerability is exploited.
• java / server:
ps -ef | grep -i activemq | grep -v grep• java / server:
journalctl -u activemq | grep -i "KeyUpdate"• generic web:
curl -I <activemq_broker_url> | grep TLSdisclosure
patch
Exploit-Status
EPSS
0.05% (16% Perzentil)
CVSS-Vektor
Die primäre Lösung zur Behebung von CVE-2026-39304 ist die Aktualisierung von Apache ActiveMQ Client, Apache ActiveMQ Broker oder Apache ActiveMQ auf Version 5.19.4 oder höher. Diese Version enthält eine Korrektur, die TLSv1.3-KeyUpdates korrekt verarbeitet und so eine Speicherausschöpfung verhindert. Als vorübergehende Maßnahme wird empfohlen, die Anzahl der zulässigen TLSv1.3-Verbindungen zum Broker zu begrenzen oder TLSv1.3 zu deaktivieren, wenn es nicht unbedingt erforderlich ist. Die Überwachung der Speicherauslastung des ActiveMQ-Brokers ist unerlässlich, um potenzielle Angriffe zu erkennen. Die Implementierung von Firewall-Regeln zur Beschränkung des Zugriffs auf den Broker von nicht vertrauenswürdigen Quellen kann ebenfalls dazu beitragen, das Risiko zu verringern.
Actualice a la versión 6.2.4 o 5.19.5 para mitigar la vulnerabilidad. Esta actualización corrige el manejo incorrecto de las actualizaciones de clave TLSv1.3, previniendo el agotamiento de la memoria y el posible ataque de denegación de servicio.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Alle Versionen von ActiveMQ Client, ActiveMQ Broker und ActiveMQ vor 5.19.4 sind anfällig für CVE-2026-39304.
Ja, vorübergehende Maßnahmen wie die Begrenzung von TLSv1.3-Verbindungen oder die Deaktivierung von TLSv1.3 können implementiert werden, aber die Aktualisierung ist die empfohlene Lösung.
Ein erfolgreicher Angriff kann zu einem Denial-of-Service (DoS) führen, der verhindert, dass ActiveMQ Nachrichten verarbeitet und Anfragen beantwortet.
ActiveMQ bietet Metriken zur Speicherauslastung, die über Systemüberwachungstools oder ActiveMQ-Verwaltungsschnittstellen überwacht werden können.
Nein, es gibt derzeit keine KEV, die mit CVE-2026-39304 verbunden ist.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine pom.xml-Datei hoch und wir sagen dir sofort, ob du betroffen bist.