山东中创软件商用中间件股份有限公司

中创消息中间件产品安全漏洞披露

产品介绍

中创消息中间件(简称InforSuite MQ)是山东中创软件商用中间件股份有限公司自主研发的一款消息中间件产品,为应用系统间提供稳定、高效的异步消息服务。

安全通知

近期,中创消息中间件产品中存在的安全漏洞被曝光,目前厂商已发布安全解决方案。建议受影响的用户对所用中间件版本进行安全性自查,做好修复前的各项准备工作,以免遭受安全攻击。

漏洞详情

  • (一)InforSuite MQ2023.05版本存在在javax.jms.Message类中,其中参数攻击者可控,攻击者可利用任意文件写,从而导致可以通过构造恶意的请求来实现任意文件上传,上传文件到目标服务器。
  • (二)InforSuite MQ2023.05版本存在在javax.jms.Message类中,其中参数攻击者可控,攻击者可利用任意文件写,从而实现任意文件删除,上传文件到目标服务器。
  • (三)InforSuite MQ2023.05版本中用户可通过jndiUrl或jmsDestinationName等属性来控制程序的行为,如果这些属性值被恶意构造并上传到服务器端,可能会导致远程代码执行。
  • (四)InforSuite MQ2023.05版本存在在javax.jms.Message类中,其中参数攻击者可控,攻击者可利用此漏洞实现远程代码执行,具体是通过修改jmsXGroupID等属性来构造恶意的请求,从而实现代码执行。
  • (五)InforSuite MQ2023.05版本存在在javax.jms.Message类中,攻击者可利用MQ客户端名称的属性来构造恶意的请求,从而实现代码执行。
  • (六)InforSuite MQ2023.05版本存在在javax.jms.Message类中,攻击者可利用MQ客户端名称的属性来构造恶意的请求,从而实现代码执行。
  • (七)CNVD-C-2022-62769中创消息中间件存在命令注入漏洞,攻击者利用该漏洞可控制目标机的操作系统(该漏洞可通过升级到MQ2023.05版本来进行修复,或通过MQ客户端进行加固来进行修复)。
  • (八)CNVD-C-2022-62769中创消息中间件存在命令注入漏洞,攻击者利用该漏洞可控制目标机的操作系统(该漏洞可通过升级到MQ2023.05版本来进行修复,或通过MQ客户端进行加固来进行修复)。
  • (九)CNVD-C-2022-62769中创消息中间件存在命令注入漏洞,攻击者利用该漏洞可控制目标机的操作系统(该漏洞可通过升级到MQ2023.05版本来进行修复,或通过MQ客户端进行加固来进行修复)。
  • (十)CNVD-C-2022-62769中创消息中间件存在命令注入漏洞,攻击者利用该漏洞可控制目标机的操作系统(该漏洞可通过升级到MQ2023.05版本来进行修复,或通过MQ客户端进行加固来进行修复)。
  • (十一)CNVD-C-2022-62769中创消息中间件存在命令注入漏洞,攻击者利用该漏洞可控制目标机的操作系统(该漏洞可通过增加JVM的启动参数,可限制某些文件,限制如下:禁止文件名含有特殊字符的文件上传,会检查文件后缀,过滤黑名单文件)。
  • (十二)InforSuite MQ2023.05版本中创消息中间件产品中存在XXE注入漏洞,攻击者可通过构造恶意的XML文档来读取服务器的配置文件,从而威胁产品安全性。
  • (十三)InforSuite MQ2023.05版本中创消息中间件产品中存在远程代码执行漏洞,具体是服务器端JVM启动参数的配置问题攻击者可通过构造恶意的请求来触发漏洞。

补丁获取

请联系中创工作人员,获取相应版本的漏洞补丁包,在工作人员指导下进行漏洞补丁修复。

扫码关注公众号

中创股份公众号二维码

联系方式

电话:400-618-6180

邮箱:support@inforbus.com

在线服务在线服务