Platform
java
Component
org.apache.activemq:activemq-client
Opgelost in
5.19.4
6.2.4
5.19.4
6.2.4
5.19.4
6.2.4
5.19.4
6.2.4
5.19.4
Een Denial of Service (DoS) kwetsbaarheid is ontdekt in Apache ActiveMQ, zowel in de broker als de client. Deze kwetsbaarheid wordt veroorzaakt door een onjuiste afhandeling van TLSv1.3 handshake KeyUpdates. Een kwaadwillende client kan snel KeyUpdates triggeren, waardoor de broker al zijn geheugen in de SSL engine uitgeput, wat leidt tot een DoS. De kwetsbaarheid beïnvloedt Apache ActiveMQ versies 0.0.0–6.2.4. Een patch is beschikbaar in versie 6.2.4.
CVE-2026-39304 in Apache ActiveMQ Client, Apache ActiveMQ Broker en Apache ActiveMQ vormt een Denial-of-Service (DoS) risico. Specifiek verwerken de NIO SSL-transports van ActiveMQ TLSv1.3 handshake KeyUpdates die door clients worden getriggerd, niet correct. Een aanvaller kan dit uitbuiten door snel een reeks updates te triggeren, waardoor de broker al zijn geheugen in de SSL-engine uitgeput, wat leidt tot een DoS. Dit voorkomt dat ActiveMQ berichten verwerkt en verzoeken beantwoordt. De CVSS-severity is 7.5, wat een hoog risico aangeeft. Het is cruciaal om te upgraden naar versie 5.19.4 of hoger om deze dreiging te mitigeren.
Een aanvaller die de mogelijkheid heeft om een TLSv1.3-verbinding met de ActiveMQ-broker tot stand te brengen, kan deze kwetsbaarheid uitbuiten. Dit kan vanaf een machine in hetzelfde netwerk als de broker zijn, of, als de broker aan het internet wordt blootgesteld, vanaf elke locatie. De aanvaller zou een reeks verzoeken sturen die TLSv1.3 KeyUpdates triggeren, waardoor de SSL-engine van de broker wordt overbelast. Exploitatie vereist geen authenticatie, wat het risico vergroot. De eenvoud van exploitatie, in combinatie met de potentiële impact van een dienstonderbreking, maakt deze kwetsbaarheid tot een aanzienlijk probleem.
Organizations utilizing Apache ActiveMQ for message queuing, particularly those using TLSv1.3 for secure communication, are at risk. Environments with legacy ActiveMQ deployments running older versions (≤5.9.1) are especially vulnerable. Any system relying on ActiveMQ for critical business processes faces potential disruption if this vulnerability is exploited.
• java / server:
ps -ef | grep -i activemq | grep -v grep• java / server:
journalctl -u activemq | grep -i "KeyUpdate"• generic web:
curl -I <activemq_broker_url> | grep TLSdisclosure
patch
Exploit Status
EPSS
0.05% (16% percentiel)
CVSS-vector
De primaire oplossing voor het aanpakken van CVE-2026-39304 is het upgraden van Apache ActiveMQ Client, Apache ActiveMQ Broker of Apache ActiveMQ naar versie 5.19.4 of hoger. Deze versie bevat een fix die TLSv1.3 KeyUpdates correct verwerkt, waardoor geheugenuitputting wordt voorkomen. Als tijdelijke maatregel wordt aanbevolen het aantal toegestane TLSv1.3-verbindingen naar de broker te beperken of TLSv1.3 uit te schakelen als het niet essentieel is. Het monitoren van het geheugengebruik van de ActiveMQ-broker is essentieel om potentiële aanvallen te detecteren. Het implementeren van firewallregels om de toegang tot de broker te beperken vanaf niet-vertrouwde bronnen kan ook helpen om het risico te verminderen.
Actualice a la versión 6.2.4 o 5.19.5 para mitigar la vulnerabilidad. Esta actualización corrige el manejo incorrecto de las actualizaciones de clave TLSv1.3, previniendo el agotamiento de la memoria y el posible ataque de denegación de servicio.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Alle versies van ActiveMQ Client, ActiveMQ Broker en ActiveMQ vóór 5.19.4 zijn kwetsbaar voor CVE-2026-39304.
Ja, tijdelijke maatregelen zoals het beperken van TLSv1.3-verbindingen of het uitschakelen van TLSv1.3 kunnen worden geïmplementeerd, maar het upgraden is de aanbevolen oplossing.
Een succesvolle aanval kan leiden tot een Denial-of-Service (DoS), waardoor ActiveMQ voorkomt dat berichten worden verwerkt en verzoeken worden beantwoord.
ActiveMQ biedt metrieken voor geheugengebruik die kunnen worden gemonitord via systeemmonitoringtools of ActiveMQ-beheersinterfaces.
Nee, er is momenteel geen KEV geassocieerd met CVE-2026-39304.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.