リモートの Ubuntu 16.04 LTS / 18.04 LTS / 20.04 LTS ホストには、USN-6685-1 のアドバイザリに記載された脆弱性の影響を受けるパッケージがインストールされています。

  - Apache ActiveMQ 5.0.0 ～ 5.15.8 では、破損した MQTT フレームのマーシャリングを解除すると、ブローカーのメモリ不足例外が応答不能になる可能性があります。(CVE-2019-0222)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートホストに、Oracle Identity Manager Connector用の2020年4月Critical Patch Updateが適用されていません。そのため、以下の複数の脆弱性の影響を受けます。

 - Oracle Fusion MiddlewareのIdentity Manager Connector製品の脆弱性（コンポーネント: 一般（Apache ActiveMQ））。サポートされているバージョンで影響を受けるのは9.0です。容易に悪用可能な脆弱性により、認証されていない攻撃者がHTTPを介してネットワークにアクセスし、Identity Manager Connectorを侵害する可能性があります。この脆弱性を利用した攻撃に成功すると、権限なしでIdentity Manager Connectorをハングさせたり頻繁に繰り返しクラッシュさせたりする（完全なDOS）可能性があります。（CVE-2019-0222）

 - Oracle Fusion MiddlewareのIdentity Manager Connector製品の脆弱性（コンポーネント: LDAP Gateway（Spring Framework））。サポートされているバージョンで影響を受けるのは9.0です。容易に悪用可能な脆弱性により、認証されていない攻撃者がHTTPを介してネットワークにアクセスし、Identity Manager Connectorを侵害する可能性があります。この脆弱性を利用した攻撃に成功すると、権限なしでIdentity Manager Connectorをハングさせたり頻繁に繰り返しクラッシュさせたりする（完全なDOS）可能性があります。（CVE-2018-15756）

Nessusはこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

mqttクライアントで脆弱性が発見されました。破損したMQTTフレームのマーシャリングを解除すると、ブローカのメモリ不足例外が応答不能になる可能性があります。

Debian 9 'Stretch'では、この問題はバージョン1.14-1+deb9u1で修正されています。

お使いのmqtt-clientパッケージをアップグレードすることを推奨します。

mqtt-clientの詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください：
https://security-tracker.debian.org/tracker/mqtt-client

注：Tenable Network Securityは、前述の記述ブロックをDLAセキュリティアドバイザリーから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

Java Message Serviceを中心に構築されたメッセージブローカーであるactivemqで、複数のセキュリティの問題が発見されました。

CVE-2017-15709

activemqでOpenWireプロトコルを使用する際に、特定のシステムの詳細（OSやカーネルバージョンなど）がテキスト形式で公開されることがわかりました。

CVE-2018-11775

Apache ActiveMQ Client使用時に、TLSホスト名検証が欠落していました。これにより、ActiveMQクライアントを使用するJavaアプリケーションとActiveMQサーバーの間で、クライアントがMITM攻撃に脆弱になる可能性があります。これはデフォルトでは現在有効になっています。

CVE-2019-0222

破損したMQTTフレームのマーシャリングを解除すると、ブローカのメモリ不足例外が応答不能になる可能性があります。

CVE-2021-26117

オプションのActiveMQ LDAPログインモジュールは、LDAPサーバーへの匿名アクセスを使用するように構成できます。匿名のコンテキストは、誤って有効なユーザーパスワードの検証に使用されるため、パスワードがチェックされません。

Debian 9 'Stretch'では、これらの問題はバージョン5.14.3-3+deb9u2で修正されています。

お使いのactivemqパッケージをアップグレードすることを推奨します。

activemqの詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください：
https://security-tracker.debian.org/tracker/activemq

注：Tenable Network Securityは、前述の記述ブロックをDLAセキュリティアドバイザリーから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

リモートホストで実行中の Apache ActiveMQ のバージョンは、5.15.9 より前の 5.x です。このため、MQTT フレームの検証が不適切なことによるサービス拒否（DoS）の脆弱性の影響を受けます。認証されていないリモートの攻撃者がこれを悪用し、ブローカーの応答を停止させる可能性があります。

リモートホストにインストールされているOracle Enterprise Manager Cloud Controlのバージョンは、Enterprise Manager Base Platformコンポーネントにある複数の脆弱性による影響を受けます。Oracle Enterprise Manager Products SuiteのEnterprise Manager Base Platformコンポーネントに詳細不明な脆弱性（サブコンポーネント：Connector Framework（Apache CXF））があり、認証されていないリモートの攻撃者が、Enterprise Manager Base Platformを侵害する可能性があります。（CVE-2018-8039）Oracle Enterprise Manager Products SuiteのOracle Enterprise Manager Base Platformコンポーネントに詳細不明な脆弱性（サブコンポーネント：Valid Session（Apache ActiveMQ））があり、認証されていないリモートの攻撃者が、Oracle Enterprise Manager Base Platformを侵害する可能性があります。（CVE-2019-0222）- Oracle Enterprise Manager Products SuiteのEnterprise Manager Base Platformコンポーネントに詳細不明な脆弱性（サブコンポーネント：Discovery Framework（OpenSSL））があり、認証されていないリモートの攻撃者が、Enterprise Manager Base Platformを侵害する可能性があります。（CVE-2019-1559）

ID	名前	製品	ファミリー	公開日	更新日	深刻度
191738	Ubuntu 16.04 LTS / 18.04 LTS / 20.04 LTS : mqtt-client の脆弱性 (USN-6685-1)	Nessus	Ubuntu Local Security Checks	2024/3/8	2024/3/8	high
136284	Oracle Identity Manager Connectorの複数の脆弱性（2020年4月のCPU）	Nessus	Misc.	2020/5/1	2022/12/5	high
147179	DebianDLA-2582-1：mqtt-clientのセキュリティ更新	Nessus	Debian Local Security Checks	2021/3/8	2024/1/12	high
147182	DebianDLA-2583-1：activemqのセキュリティ更新	Nessus	Debian Local Security Checks	2021/3/8	2024/1/12	high
123756	Apache ActiveMQ 5.x < 5.15.9の破損した MQTT フレームのサービス拒否 (DoS) (CVE-2019-0222)	Nessus	CGI abuses	2019/4/5	2024/4/19	high
126775	Oracle Enterprise Manager Cloud Control（2019年7月のCPU）	Nessus	Misc.	2019/7/17	2022/12/6	high

検出

プラグインの検索

high

high

high

high

high

high