NVD脆弱性詳細

CVE-2020-11969

概要	If Apache TomEE is configured to use the embedded ActiveMQ broker, and the broker URI includes the useJMX=true parameter, a JMX port is opened on TCP port 1099, which does not include authentication. This affects Apache TomEE 8.0.0-M1 - 8.0.1, Apache TomEE 7.1.0 - 7.1.2, Apache TomEE 7.0.0-M1 - 7.0.7, Apache TomEE 1.0.0 - 1.7.5.
公表日	2020年6月16日5:15
登録日	2021年1月26日11:51
最終更新日	2024年11月21日13:59

影響を受けるソフトウェアの構成

関連情報、対策とツール

No	URL	タグ
1	http://www.openwall.com/lists/oss-security/2020/12/16/2	Mailing List Third Party Advisory
2	https://lists.apache.org/thread.html/r85b87478f8aa4751aa3a06e88622e80ffabae376ee7283e147ee56b9%40%3Cdev.tomee.apache.org%3E
3	https://lists.apache.org/thread.html/rbd23418646dedda70a546331ea1c1d115b8975b7e7dc452d10e2e773%40%3Cannounce.apache.org%3E
4	https://lists.apache.org/thread.html/rbd23418646dedda70a546331ea1c1d115b8975b7e7dc452d10e2e773%40%3Cdev.tomee.apache.org%3E	Mailing List Vendor Advisory
5	https://lists.apache.org/thread.html/ref088c4732e1a8dd0bbbb96e13ffafcfe65f984238ffa55f438d78fe%40%3Cdev.tomee.apache.org%3E
6	https://lists.apache.org/thread.html/ref088c4732e1a8dd0bbbb96e13ffafcfe65f984238ffa55f438d78fe%40%3Cusers.tomee.apache.org%3E
7	http://www.openwall.com/lists/oss-security/2020/12/16/2	Mailing List Third Party Advisory
8	https://lists.apache.org/thread.html/ref088c4732e1a8dd0bbbb96e13ffafcfe65f984238ffa55f438d78fe%40%3Cusers.tomee.apache.org%3E
9	https://lists.apache.org/thread.html/ref088c4732e1a8dd0bbbb96e13ffafcfe65f984238ffa55f438d78fe%40%3Cdev.tomee.apache.org%3E
10	https://lists.apache.org/thread.html/rbd23418646dedda70a546331ea1c1d115b8975b7e7dc452d10e2e773%40%3Cdev.tomee.apache.org%3E	Mailing List Vendor Advisory
11	https://lists.apache.org/thread.html/rbd23418646dedda70a546331ea1c1d115b8975b7e7dc452d10e2e773%40%3Cannounce.apache.org%3E
12	https://lists.apache.org/thread.html/r85b87478f8aa4751aa3a06e88622e80ffabae376ee7283e147ee56b9%40%3Cdev.tomee.apache.org%3E

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-306	重要な機能に対する認証の欠如解説	https://cwe.mitre.org/data/definitions/306.html

JVN脆弱性情報

Apache TomEE における認証に関する脆弱性

タイトル	Apache TomEE における認証に関する脆弱性
概要	Apache TomEE には、認証に関する脆弱性が存在します。
想定される影響	情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2020年6月15日0:00
登録日	2020年7月17日17:50
最終更新日	2020年7月17日17:50

影響を受けるシステム

Apache Software Foundation

TomEE 1.0.0 から 1.7.5

TomEE 7.0.0-M1 から 7.0.7

TomEE 7.1.0 から 7.1.2

TomEE 8.0.0-M1 から 8.0.1

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2020-11969	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11969
National Vulnerability Database (NVD)
2	CVE-2020-11969	https://nvd.nist.gov/vuln/detail/CVE-2020-11969
Pony Mail
3	CVE-2020-11969 Apache TomEE - useJMX attribute on ActiveMQ resource adapter URI causes authenticated JMX port to be open	https://lists.apache.org/thread.html/rbd23418646dedda70a546331ea1c1d115b8975b7e7dc452d10e2e773%40%3Cdev.tomee.apache.org%3E

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-287	https://jvndb.jvn.jp/ja/cwe/CWE-287.html

変更履歴

No	変更内容	変更日
1	[2020年07月17日] 掲載	2020年7月17日17:50