កំពុងផ្ទុក...

ថ្ងៃ ច័ន្ទ ទី៦ ខែ កក្កដា ឆ្នាំ ២០២៦

ភាពងាយរងគ្រោះជាច្រើនរបស់ Apache ActiveMQ អាចឱ្យមានការវាយលុក DoS និងនាំឱ្យមានការគាំង


អ្នកប្រើប្រាស់ Apache ActiveMQ ត្រូវបានណែនាំឱ្យធ្វើបច្ចុប្បន្នភាពការដាក់ពង្រាយរបស់ពួកគេជាបន្ទាន់ បន្ទាប់ពីភាពងាយរងគ្រោះសំខាន់ៗចំនួនបីត្រូវបានបង្ហាញ ដែលបង្ហាញហេដ្ឋារចនាសម្ព័ន្ធផ្ញើសារទៅនឹងការវាយប្រហារបដិសេធសេវាកម្ម (DoS) ការដាច់ចរន្តអគ្គិសនី និងហានិភ័យនៃការអនុញ្ញាតមិនត្រឹមត្រូវ។

បញ្ហាទាំងនេះ ដែលត្រូវបានតាមដានថាជា CVE-2026-53917, CVE-2026-54475 និង CVE-2026-49877 ប៉ះពាល់ដល់សមាសធាតុស្នូលនៅទូទាំងសាខា 5.x និង 6.x ហើយអាចនាំឱ្យមានការគាំងរបស់ឈ្មួញកណ្តាល និងការចូលប្រើដោយគ្មានការអនុញ្ញាត ប្រសិនបើមិនបានជួសជុល។

CVE-2026-53917 គឺជាភាពងាយរងគ្រោះ "ការបែងចែកអង្គចងចាំដែលមានតម្លៃទំហំលើស" នៅក្នុង Apache ActiveMQ, Apache ActiveMQ All, Apache ActiveMQ Client និង Apache ActiveMQ Broker។

កំហុសស្ថិតនៅក្នុងរបៀបដែលផែនទីលក្ខណៈសម្បត្តិសារ OpenWire មិនត្រូវបានចែករំលែក។ នៅពេលដែលអ្នកប្រើប្រាស់ដែលបានផ្ទៀងផ្ទាត់ផ្ញើសារ OpenWire ដែលបានបង្កើតជាមួយនឹងទំហំផែនទីដែលបានអ៊ិនកូដធំខ្លាំង ឈ្មួញកណ្តាលព្យាយាមបែងចែកអង្គចងចាំដោយមិនបានផ្ទៀងផ្ទាត់ទំហំ។

ដោយសារតែមិនមានការត្រួតពិនិត្យកម្រិតខ្ពស់លើលក្ខណៈសម្បត្តិទាំងនេះទេ ឈ្មួញកណ្តាលអាចជួបប្រទះស្ថានភាពអស់អង្គចងចាំ (OOM) យ៉ាងឆាប់រហ័ស ដែលបណ្តាលឱ្យវាគាំង និងបណ្តាលឱ្យមាន DoS សម្រាប់កម្មវិធីណាមួយអាស្រ័យលើហេដ្ឋារចនាសម្ព័ន្ធសារនោះ។

ភាពងាយរងគ្រោះនេះប៉ះពាល់ដល់ Apache ActiveMQ មុន 5.19.8 និងពី 6.0.0 មុន 6.2.7 រួមទាំងវត្ថុបុរាណ All, Client និង Broker នៅក្នុងជួរកំណែដូចគ្នា។

ភាពងាយរងគ្រោះរបស់ Apache ActiveMQ

បរិស្ថានដែលពឹងផ្អែកលើអតិថិជន OpenWire ត្រូវបានលាតត្រដាងជាពិសេស ដោយសារអតិថិជនដែលមានគំនិតអាក្រក់ ឬសម្របសម្រួលតែមួយអាចកម្ចាត់ឈ្មួញកណ្តាលបាន។

CVE-2026-54475 គឺជាភាពងាយរងគ្រោះ "បាត់ការអនុញ្ញាត" ដែលប៉ះពាល់ដល់ Apache ActiveMQ Broker, Apache ActiveMQ All និង Apache ActiveMQ។

នៅក្នុង ActiveMQ Classic គោលដៅបណ្តោះអាសន្នត្រូវបានរចនាឡើងដើម្បីញែកដាច់ពីការតភ្ជាប់ដែលបានបង្កើតពួកវា ដូច្នេះមានតែការតភ្ជាប់នោះប៉ុណ្ណោះដែលអាចប្រើប្រាស់សារពីជួរបណ្តោះអាសន្ន ឬប្រធានបទរបស់វា។

ទោះជាយ៉ាងណាក៏ដោយ ភាពឯកោនេះត្រូវបានអនុវត្តតែនៅក្នុងតក្កវិជ្ជាអតិថិជនប៉ុណ្ណោះ។ ឈ្មួញកណ្តាលមិនបានផ្ទៀងផ្ទាត់ភាពជាម្ចាស់ពេញលេញទេ ដែលមានន័យថាការតភ្ជាប់ផ្សេងគ្នាអាចប្រើប្រាស់សារពីគោលដៅបណ្តោះអាសន្ននៃការតភ្ជាប់ផ្សេងទៀត។

នេះបំបែកគំរូឯកោដែលរំពឹងទុក និងអនុញ្ញាតឱ្យមានការចូលប្រើដោយគ្មានការអនុញ្ញាតចំពោះលំហូរសារបណ្តោះអាសន្ន។ បញ្ហានេះក៏ប៉ះពាល់ដល់ឈ្មួញកណ្តាល ទាំងអស់ និងកំណែ ActiveMQ ស្នូល 5.19.8 និងមុននេះ ក៏ដូចជា 6.0.0 ដល់ 6.2.7។

នៅក្នុងបរិយាកាសផ្ញើសារច្រើនអ្នកជួល ឬចែករំលែក ចំណុចខ្សោយនេះអាចបណ្តាលឱ្យមានការលេចធ្លាយទិន្នន័យ ឬការចូលប្រើឆ្លងអ្នកជួលដោយអចេតនា ប្រសិនបើអ្នកវាយប្រហារអាចបង្កើតការតភ្ជាប់ដាច់ដោយឡែកទៅកាន់ឈ្មួញកណ្តាលដូចគ្នា។

CVE-2026-49877 គឺជាចំណុចខ្សោយ "ការអនុញ្ញាតមិនត្រឹមត្រូវ" នៅក្នុង Apache ActiveMQ Web Console។ ដោយសារតែការកំណត់រចនាសម្ព័ន្ធ Jetty លំនាំដើមដែលមិនមានសុវត្ថិភាព អ្នកប្រើប្រាស់ Web Console ដែលមានសិទ្ធិទាបដែលបានផ្ទៀងផ្ទាត់អាចចូលប្រើផ្លូវរដ្ឋបាលក្រោម /admin/* តាមលំនាំដើម។

ការកំណត់ Jetty លំនាំដើមមិនបានកំណត់ចំណុចបញ្ចប់អ្នកគ្រប់គ្រងទាំងនេះចំពោះតែអ្នកប្រើប្រាស់ដែលមានតួនាទីរដ្ឋបាលប៉ុណ្ណោះទេ ដោយផ្តល់សិទ្ធិចូលប្រើកម្រិតខ្ពស់ដល់គណនីដែលមិនមែនជាអ្នកគ្រប់គ្រង។

ដូច្នេះអ្នកប្រើប្រាស់ដែលមានសិទ្ធិទាបដែលផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវទៅកាន់ Web Console អាចទៅដល់មុខងាររដ្ឋបាលសំខាន់ៗ ផ្លាស់ប្តូរការកំណត់ ឬបង្វិលបន្ថែមទៀតពីចំណុចប្រទាក់គ្រប់គ្រង។

ដូចបញ្ហាផ្សេងទៀតដែរ CVE-2026-49877 ប៉ះពាល់ដល់ Apache ActiveMQ មុន 5.19.8 និងពី 6.0.0 មុន 6.2.7។ នេះធ្វើឱ្យវាក្លាយជាកង្វល់ដ៏សំខាន់សម្រាប់ការដាក់ពង្រាយដែលបង្ហាញ Web Console សម្រាប់ការប្រើប្រាស់ប្រតិបត្តិការ។

Apache ណែនាំថាអ្នកប្រើប្រាស់ដែលរងផលប៉ះពាល់ទាំងអស់ត្រូវធ្វើឱ្យប្រសើរឡើងភ្លាមៗទៅ ActiveMQ 6.2.7 ឬ 5.19.8។

ការចេញផ្សាយទាំងនេះណែនាំការផ្ទៀងផ្ទាត់ទំហំយ៉ាងតឹងរ៉ឹងសម្រាប់ផែនទីលក្ខណៈសម្បត្តិ OpenWire អនុវត្តការត្រួតពិនិត្យភាពជាម្ចាស់ផ្នែកម៉ាស៊ីនមេសម្រាប់គោលដៅបណ្តោះអាសន្ន និងកែតម្រូវឥរិយាបថអនុញ្ញាតលំនាំដើមនៅក្នុង Web Console ដូច្នេះផ្លូវ /admin/* ត្រូវបានកំណត់ចំពោះអ្នកប្រើប្រាស់រដ្ឋបាលពិតប្រាកដ។

រួមជាមួយនឹងការជួសជុល អង្គការគួរតែរឹតបន្តឹងការចូលប្រើបណ្តាញទៅកាន់ឈ្មួញកណ្តាល និងកុងសូល តួនាទីសវនកម្ម និងការអនុញ្ញាត និងតាមដានការប្រើប្រាស់អង្គចងចាំមិនប្រក្រតី ការគាំងឈ្មួញកណ្តាលដែលមិននឹកស្មានដល់ និងការប៉ុនប៉ងចូលប្រើដោយគ្មានការអនុញ្ញាត។

Super Admin

Admin

សូម ចូលគណនី ដើម្បីបញ្ចេញមតិយោបល់លើអត្ថបទនេះ!

អ្នកក៏អាចចូលចិត្តផងដែរ