独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は4月24日、Apache ActiveMQシリーズにおけるMQTTパケット検証不備の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。三井物産セキュアディレクション株式会社の田中凱氏が報告を行っている。影響を受けるシステムは以下の通り。
Apache ActiveMQ 5.19.2より前の5.xバージョン、6.2.4より前の6.xバージョン
Apache ActiveMQ All モジュール 5.19.2より前の5.xバージョン、6.2.4より前の6.xバージョン
Apache ActiveMQ MQTT モジュール 5.19.2より前の5.xバージョン、6.2.4より前の6.xバージョン
The Apache Software Foundationが提供するApache ActiveMQシリーズでは、MQTTパケットの検証が適切に行われておらず、整数オーバーフローが発生して想定外の動作につながる可能性がある。
JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。
