Apache ActiveMQ Client、Apache ActiveMQ Broker、Apache ActiveMQ All、Apache ActiveMQ：对 TLSv1.3 KeyUpdate 的错误处理可能被利用来通过 OOM 导致 DoS

Apache ActiveMQ Client、Apache ActiveMQ Broker 和 Apache ActiveMQ 中的 CVE-2026-39304 构成拒绝服务 (DoS) 风险。 具体来说，ActiveMQ 的 NIO SSL 传输未能正确处理客户端触发的 TLSv1.3 握手 KeyUpdates。 攻击者可以利用此漏洞通过快速触发更新，导致代理在 SSL 引擎中耗尽所有内存，从而导致 DoS。 这会导致 ActiveMQ 无法处理消息和响应请求。 CVSS 严重性为 7.5，表明高风险。 为了减轻此威胁，必须升级到 5.19.4 或更高版本。

Organizations utilizing Apache ActiveMQ for message queuing, particularly those using TLSv1.3 for secure communication, are at risk. Environments with legacy ActiveMQ deployments running older versions (≤5.9.1) are especially vulnerable. Any system relying on ActiveMQ for critical business processes faces potential disruption if this vulnerability is exploited.

• java / server:

ps -ef | grep -i activemq | grep -v grep

• java / server:

journalctl -u activemq | grep -i "KeyUpdate"

• generic web:

curl -I <activemq_broker_url> | grep TLS

1. 2026-04-10Disclosure

   disclosure

2. 2026-04-10Patch

   patch

1. 已保留2026-04-06
2. 发布日期2026-04-10
3. EPSS 更新日期2026-04-17

解决 CVE-2026-39304 的主要解决方案是将 Apache ActiveMQ Client、Apache ActiveMQ Broker 或 Apache ActiveMQ 升级到 5.19.4 或更高版本。 此版本包含修复程序，可正确处理 TLSv1.3 KeyUpdates，从而防止内存耗尽。 作为临时措施，建议限制允许到代理的 TLSv1.3 连接的数量，或在非必要时禁用 TLSv1.3。 监控代理的内存使用情况对于检测潜在攻击至关重要。 实施防火墙规则以限制来自不受信任来源的对代理的访问也可以帮助降低风险。