プラットフォーム
java
コンポーネント
org.apache.activemq:activemq-client
修正版
5.19.4
6.2.4
5.19.4
6.2.4
5.19.4
6.2.4
5.19.4
6.2.4
5.19.4
CVE-2026-39304 describes a Denial of Service (DoS) vulnerability within Apache ActiveMQ Client, ActiveMQ Broker, and ActiveMQ. This vulnerability arises from improper handling of TLSv1.3 handshake KeyUpdates, allowing a client to exhaust the broker's memory resources. Versions affected are those prior to 5.9.1, and a fix is available in version 5.19.4.
Apache ActiveMQ Client、Apache ActiveMQ Broker、およびApache ActiveMQのCVE-2026-39304は、サービス拒否(DoS)のリスクをもたらします。具体的には、ActiveMQのNIO SSLトランスポートは、クライアントによってトリガーされるTLSv1.3ハンドシェイクKeyUpdatesを正しく処理しません。攻撃者は、これを悪用してKeyUpdatesを急速にトリガーし、ブローカーのSSLエンジンでメモリを使い果たさせることができます。これにより、ActiveMQがメッセージを処理したり、リクエストに応答したりできなくなり、サービスが停止します。CVSSの深刻度は7.5であり、高いリスクを示しています。この脅威を軽減するため、バージョン5.19.4以降にアップグレードすることが重要です。
ActiveMQブローカーとのTLSv1.3接続を確立できる攻撃者は、この脆弱性を悪用できます。これは、ブローカーと同じネットワーク内のマシンから、またはブローカーがインターネットに公開されている場合は、任意の場所から行うことができます。攻撃者は、TLSv1.3 KeyUpdatesをトリガーする一連のリクエストを送信し、ブローカーのSSLエンジンを過負荷にします。この悪用には認証は必要なく、リスクを高めます。悪用の容易さと、サービスの中断の潜在的な影響を組み合わせると、この脆弱性は大きな懸念事項となります。
Organizations utilizing Apache ActiveMQ for message queuing, particularly those using TLSv1.3 for secure communication, are at risk. Environments with legacy ActiveMQ deployments running older versions (≤5.9.1) are especially vulnerable. Any system relying on ActiveMQ for critical business processes faces potential disruption if this vulnerability is exploited.
• java / server:
ps -ef | grep -i activemq | grep -v grep• java / server:
journalctl -u activemq | grep -i "KeyUpdate"• generic web:
curl -I <activemq_broker_url> | grep TLSdisclosure
patch
エクスプロイト状況
EPSS
0.05% (16% パーセンタイル)
CVSS ベクトル
CVE-2026-39304に対処するための主な解決策は、Apache ActiveMQ Client、Apache ActiveMQ Broker、またはApache ActiveMQをバージョン5.19.4以降にアップグレードすることです。このバージョンには、TLSv1.3 KeyUpdatesを正しく処理し、メモリの枯渇を防ぐ修正が含まれています。一時的な措置として、ブローカーへの許可されたTLSv1.3接続の数を制限するか、必須でない場合はTLSv1.3を無効にすることをお勧めします。ActiveMQブローカーのメモリ使用量を監視することは、潜在的な攻撃を検出するために不可欠です。信頼できないソースからのブローカーへのアクセスを制限するファイアウォールルールを実装することも、リスクを軽減するのに役立ちます。
Actualice a la versión 6.2.4 o 5.19.5 para mitigar la vulnerabilidad. Esta actualización corrige el manejo incorrecto de las actualizaciones de clave TLSv1.3, previniendo el agotamiento de la memoria y el posible ataque de denegación de servicio.
脆弱性分析と重要アラートをメールでお届けします。
5.19.4より前のActiveMQ Client、ActiveMQ Broker、およびActiveMQのすべてのバージョンは、CVE-2026-39304に脆弱です。
はい、TLSv1.3接続の制限やTLSv1.3の無効化などの一時的な対策を実装できますが、アップグレードが推奨される解決策です。
攻撃が成功した場合、ActiveMQがメッセージを処理したり、リクエストに応答したりできなくなるサービス拒否(DoS)が発生する可能性があります。
ActiveMQは、システム監視ツールまたはActiveMQ管理インターフェースを通じて監視できるメモリ使用量のメトリックを提供します。
いいえ、現在CVE-2026-39304に関連付けられたKEVはありません。
pom.xml ファイルをアップロードすると、影響の有無を即座にお知らせします。