Plateforme
java
Composant
org.apache.activemq:activemq-client
Corrigé dans
5.19.4
6.2.4
5.19.4
6.2.4
5.19.4
6.2.4
5.19.4
6.2.4
5.19.4
Une vulnérabilité de type Denial of Service (DoS) a été découverte dans Apache ActiveMQ. Les transports NIO SSL ne gèrent pas correctement les KeyUpdates TLSv1.3 déclenchées par les clients, ce qui peut entraîner un épuisement de la mémoire du broker SSL. Cette vulnérabilité affecte les versions 0.0.0–6.2.4 d'Apache ActiveMQ, et une correction est disponible dans la version 6.2.4.
La vulnérabilité CVE-2026-39304 dans Apache ActiveMQ Client, Apache ActiveMQ Broker et Apache ActiveMQ représente un risque de Déni de Service (DoS). Plus précisément, les transports NIO SSL d'ActiveMQ ne gèrent pas correctement les mises à jour de clé (KeyUpdates) du protocole TLSv1.3 déclenchées par les clients. Un attaquant peut exploiter cette faiblesse en déclenchant rapidement une série de mises à jour, ce qui provoque l'épuisement de toute la mémoire du broker dans le moteur SSL, entraînant un DoS. Cela empêche ActiveMQ de traiter les messages et de répondre aux requêtes. La sévérité CVSS est de 7,5, ce qui indique un risque élevé. Il est crucial de mettre à niveau vers la version 5.19.4 ou ultérieure pour atténuer cette menace.
Un attaquant ayant la possibilité d'établir une connexion TLSv1.3 avec le broker ActiveMQ peut exploiter cette vulnérabilité. Cela pourrait se faire à partir d'une machine du même réseau que le broker ou, si le broker est exposé à Internet, de n'importe quel endroit. L'attaquant enverrait une séquence de requêtes qui déclencheraient des mises à jour de clé TLSv1.3, surchargeant le moteur SSL du broker. L'exploitation ne nécessite pas d'authentification, ce qui augmente le risque. La facilité d'exploitation, combinée à l'impact potentiel d'une interruption de service, fait de cette vulnérabilité une préoccupation importante.
Organizations utilizing Apache ActiveMQ for message queuing, particularly those using TLSv1.3 for secure communication, are at risk. Environments with legacy ActiveMQ deployments running older versions (≤5.9.1) are especially vulnerable. Any system relying on ActiveMQ for critical business processes faces potential disruption if this vulnerability is exploited.
• java / server:
ps -ef | grep -i activemq | grep -v grep• java / server:
journalctl -u activemq | grep -i "KeyUpdate"• generic web:
curl -I <activemq_broker_url> | grep TLSdisclosure
patch
Statut de l'Exploit
EPSS
0.05% (percentile 16%)
Vecteur CVSS
La solution principale pour résoudre la CVE-2026-39304 consiste à mettre à niveau Apache ActiveMQ Client, Apache ActiveMQ Broker ou Apache ActiveMQ vers la version 5.19.4 ou ultérieure. Cette version inclut une correction qui gère correctement les mises à jour de clé TLSv1.3, empêchant l'épuisement de la mémoire. En attendant, en tant que mesure temporaire, il est recommandé de limiter le nombre de connexions TLSv1.3 autorisées au broker ou de désactiver le TLSv1.3 si ce n'est pas essentiel. Surveiller l'utilisation de la mémoire du broker ActiveMQ est essentiel pour détecter les attaques potentielles. La mise en œuvre de règles de pare-feu pour restreindre l'accès au broker à partir de sources non fiables peut également aider à réduire le risque.
Actualice a la versión 6.2.4 o 5.19.5 para mitigar la vulnerabilidad. Esta actualización corrige el manejo incorrecto de las actualizaciones de clave TLSv1.3, previniendo el agotamiento de la memoria y el posible ataque de denegación de servicio.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Toutes les versions d'ActiveMQ Client, ActiveMQ Broker et ActiveMQ antérieures à la 5.19.4 sont vulnérables à la CVE-2026-39304.
Oui, des mesures temporaires telles que la limitation des connexions TLSv1.3 ou la désactivation du TLSv1.3 peuvent être mises en œuvre, mais la mise à niveau est la solution recommandée.
Une attaque réussie peut entraîner un Déni de Service (DoS), empêchant ActiveMQ de traiter les messages et de répondre aux requêtes.
ActiveMQ fournit des métriques d'utilisation de la mémoire qui peuvent être surveillées à l'aide d'outils de surveillance du système ou d'interfaces d'administration ActiveMQ.
Non, il n'y a actuellement aucun KEV associé à la CVE-2026-39304.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.