प्लेटफ़ॉर्म
java
घटक
org.apache.activemq:activemq-client
में ठीक किया गया
5.19.4
6.2.4
5.19.4
6.2.4
5.19.4
6.2.4
5.19.4
6.2.4
5.19.4
CVE-2026-39304 Apache ActiveMQ में पाया गया एक Denial of Service (DoS) भेद्यता है। यह भेद्यता Apache ActiveMQ Client, Apache ActiveMQ Broker, और Apache ActiveMQ को प्रभावित करती है। TLSv1.3 handshake KeyUpdates के कारण मेमोरी समाप्त हो जाती है, जिससे सिस्टम अस्थिर हो सकता है। यह समस्या Apache ActiveMQ संस्करण 0.0.0–6.2.4 को प्रभावित करती है। इस समस्या को Apache ActiveMQ संस्करण 6.2.4 में ठीक कर दिया गया है।
Apache ActiveMQ Client, Apache ActiveMQ Broker और Apache ActiveMQ में CVE-2026-39304 एक सेवा से इनकार (DoS) जोखिम पैदा करता है। विशेष रूप से, ActiveMQ के NIO SSL ट्रांसपोर्ट क्लाइंट द्वारा ट्रिगर किए गए TLSv1.3 हैंडशेक KeyUpdates को सही ढंग से हैंडल नहीं करते हैं। एक हमलावर इस कमजोरी का फायदा उठाकर KeyUpdates को तेजी से ट्रिगर कर सकता है, जिससे ब्रोकर के SSL इंजन में सभी मेमोरी खत्म हो जाएगी, जिससे DoS हो जाएगा। इससे ActiveMQ संदेशों को संसाधित करने और अनुरोधों का जवाब देने में असमर्थ हो जाएगा। CVSS गंभीरता 7.5 है, जो उच्च जोखिम का संकेत देता है। इस खतरे को कम करने के लिए संस्करण 5.19.4 या उच्चतर में अपग्रेड करना महत्वपूर्ण है।
ActiveMQ ब्रोकर के साथ TLSv1.3 कनेक्शन स्थापित करने में सक्षम एक हमलावर इस भेद्यता का फायदा उठा सकता है। यह ब्रोकर के समान नेटवर्क में एक मशीन से या, यदि ब्रोकर इंटरनेट पर उजागर है, तो किसी भी स्थान से किया जा सकता है। हमलावर TLSv1.3 KeyUpdates को ट्रिगर करने वाले अनुरोधों की एक श्रृंखला भेजेगा, जिससे ब्रोकर के SSL इंजन पर लोड पड़ेगा। शोषण के लिए प्रमाणीकरण की आवश्यकता नहीं होती है, जिससे जोखिम बढ़ जाता है। शोषण की आसानी, सेवा में व्यवधान की संभावित प्रभाव के साथ मिलकर, इस भेद्यता को एक महत्वपूर्ण चिंता का विषय बनाते हैं।
Organizations utilizing Apache ActiveMQ for message queuing, particularly those using TLSv1.3 for secure communication, are at risk. Environments with legacy ActiveMQ deployments running older versions (≤5.9.1) are especially vulnerable. Any system relying on ActiveMQ for critical business processes faces potential disruption if this vulnerability is exploited.
• java / server:
ps -ef | grep -i activemq | grep -v grep• java / server:
journalctl -u activemq | grep -i "KeyUpdate"• generic web:
curl -I <activemq_broker_url> | grep TLSdisclosure
patch
एक्सप्लॉइट स्थिति
EPSS
0.05% (16% शतमक)
CVSS वेक्टर
CVE-2026-39304 को संबोधित करने के लिए प्राथमिक समाधान Apache ActiveMQ Client, Apache ActiveMQ Broker या Apache ActiveMQ को संस्करण 5.19.4 या उच्चतर में अपग्रेड करना है। इस संस्करण में एक फिक्स शामिल है जो TLSv1.3 KeyUpdates को सही ढंग से हैंडल करता है, जिससे मेमोरी की कमी को रोका जा सकता है। एक अस्थायी उपाय के रूप में, ब्रोकर पर अनुमत TLSv1.3 कनेक्शन की संख्या को सीमित करने या यदि यह आवश्यक नहीं है तो TLSv1.3 को अक्षम करने की सिफारिश की जाती है। संभावित हमलों का पता लगाने के लिए ActiveMQ ब्रोकर के मेमोरी उपयोग की निगरानी करना महत्वपूर्ण है। अविश्वसनीय स्रोतों से ब्रोकर तक पहुंच को प्रतिबंधित करने के लिए फ़ायरवॉल नियमों को लागू करना भी जोखिम को कम करने में मदद कर सकता है।
Actualice a la versión 6.2.4 o 5.19.5 para mitigar la vulnerabilidad. Esta actualización corrige el manejo incorrecto de las actualizaciones de clave TLSv1.3, previniendo el agotamiento de la memoria y el posible ataque de denegación de servicio.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
5.19.4 से पहले के ActiveMQ Client, ActiveMQ Broker और ActiveMQ के सभी संस्करण CVE-2026-39304 के प्रति संवेदनशील हैं।
हाँ, TLSv1.3 कनेक्शन को सीमित करने या TLSv1.3 को अक्षम करने जैसे अस्थायी उपाय किए जा सकते हैं, लेकिन अपग्रेड सबसे अनुशंसित समाधान है।
सफल हमले से सेवा से इनकार (DoS) हो सकता है, जिससे ActiveMQ संदेशों को संसाधित करने और अनुरोधों का जवाब देने से रोका जा सकता है।
ActiveMQ सिस्टम मॉनिटरिंग टूल या ActiveMQ प्रबंधन इंटरफेस के माध्यम से मॉनिटर किए जा सकने वाले मेमोरी उपयोग के मेट्रिक्स प्रदान करता है।
नहीं, वर्तमान में CVE-2026-39304 से जुड़ा कोई KEV नहीं है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी pom.xml फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।