中危 Artemis/HornetQ up to 2.3.x UDP Discovery Multicast Message Memory Exhaustion 拒绝服务漏洞

CVE编号

CVE-2017-12174

利用情况

暂无

补丁情况

官方补丁

披露时间

2018-03-08

漏洞描述

HornetQ是一套支持集群和多种协议的、可嵌入的异步消息系统。代码迁移到Apache ActiveMQ社区后更名为Artemis。 Artemis和HornetQ 2.4.0之前版本中存在安全漏洞。攻击者可利用该漏洞造成拒绝服务（内存耗尽）。

解决建议

目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：http://activemq.apache.org/artemis/

参考链接
https://access.redhat.com/errata/RHSA-2018:0268
https://access.redhat.com/errata/RHSA-2018:0269
https://access.redhat.com/errata/RHSA-2018:0270
https://access.redhat.com/errata/RHSA-2018:0271
https://access.redhat.com/errata/RHSA-2018:0275
https://access.redhat.com/errata/RHSA-2018:0478
https://access.redhat.com/errata/RHSA-2018:0479
https://access.redhat.com/errata/RHSA-2018:0480
https://access.redhat.com/errata/RHSA-2018:0481
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2017-12174
https://lists.apache.org/thread.html/rb2fd3bf2dce042e0ab3f3c94c4767c96bb2e7e6...
https://lists.apache.org/thread.html/rc96ad63f148f784c84ea7f0a178c84a8985c6af...

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	apache	activemq_artemis	2.4.0	-
	运行在以下环境
	应用	redhat	hornetq	2.4.0	-
	运行在以下环境
	应用	redhat	jboss_enterprise_application_platform	6.0.0	-
	运行在以下环境
	应用	redhat	jboss_enterprise_application_platform	6.4.0	-
	运行在以下环境
	应用	redhat	jboss_enterprise_application_platform	7.1.0	-

阿里云评分 6.2

• 攻击路径 本地
• 攻击复杂度 复杂
• 权限要求 普通权限
• 影响范围 越权影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 N/A

CWE-ID	漏洞类型
CWE-400	未加控制的资源消耗（资源穷尽）

Exp相关链接

- avd.aliyun.com