Vulnerabilidades
en JMeter y Qpid Broker-J de Apache podrían permitir la ejecución remota de
código y el cierre inesperado del servicio, catalogada de Importancia: 5 - Crítica
Recursos afectados:
- JMeter versiones 4.0 y 5.0
- Qpid Broker-J desde la versión 6.0.0 hasta la 7.0.6 y versión 7.1.0
Recomendación
Para
JMeter: actualizar a la última versión (5.1) y usar la conexión SSL RMI
autenticada (habilitada por defecto). Además utilizar la ultima versión de java
disponible (desde la 8 hasta la 11).
Para Apache
Qpid Broker-J: actualizar a las versiones 7.0.7 o 7.1.1 o posteriores de Qpid
Broker-J.
Detalle de vulnerabilidades
Un atacante
no autenticado podría establecer una conexión RMI a un servidor de JMeter
usando RemoteJMeterEngine y proceder con un ataque usando deserialización de
datos no confiables. Esto solo afecta a las pruebas que se ejecutan en modo
distribuido. Se ha reservado el identificador CVE-2019-0187 para esta
vulnerabilidad.
Una
vulnerabilidad de denegación de servicio en Apache Qpid Broker-J, podría
permitir a un atacante no autenticado bloquear la instancia del broker mediante
el envío de comandos especialmente diseñados, utilizando versiones del
protocolo AMPQ inferiores a 1.0. Se ha reservado el identificador CVE-2019-0200
para esta vulnerabilidad.
Más información
Fuente:
INCIBE