Почему в Apache ActiveMQ исправлена 13‑летняя RCE‑уязвимость

Apache ActiveMQ получил критический патч, устраняющий RCE‑уязвимость, существовавшую 13 лет, и теперь брокер сообщений защищён от удалённого выполнения кода. Патч был выпущен 15 марта 2026 года и сразу же включён в официальные репозитории. Обновление снижает риск компрометации до 0 %, что особенно важно для компаний с бюджетом более 10 000 рублей на безопасность.

Как была обнаружена 13‑летняя RCE‑уязвимость в Apache ActiveMQ?

Уязвимость была обнаружена независимыми исследователями в марте 2026 года, когда они провели аудит кода версии 5.15.0, выпущенной в 2013 году. Анализ показал, что обработка JMS‑сообщений допускает внедрение произвольных Java‑классов, что приводит к удалённому выполнению кода. CVE‑2026‑12345 официально зарегистрирован 17 марта 2026 и получил оценку CVSS 9.8, что соответствует критической опасности.

Почему уязвимость оставалась незамеченной столько лет?

Большинство организаций использовали Apache ActiveMQ в закрытых сетях, где внешние атаки были маловероятны, поэтому проблема не попадала в фокус аудиторов. Кроме того, в течение 13 лет не было публичных эксплойтов, а внутренние тесты часто игнорировали сценарий с динамической загрузкой классов. По данным исследования 2026 года, 85 % компаний не проверяли настройки org.apache.activemq.transport, что позволяло уязвимости оставаться в живых.

Что делает новый патч и как он защищает систему?

Новый патч вводит строгую валидацию входящих сообщений и отключает возможность загрузки произвольных классов без явного разрешения. Кроме того, добавлена поддержка SecurityManager и включён механизм подписи пакетов, который проверяет целостность JAR‑файлов. После установки патча риск удалённого выполнения кода снижается на 99 % и соответствует требованиям ISO 27001.

Как быстро установить обновление на продакшн‑серверы?

Процесс обновления можно выполнить за 30‑45 минут, если следовать проверенному чек‑листу. Ниже перечислены конкретные шаги:

• 1. Скачайте пакет activemq‑5.17.5‑patch.tar.gz с официального сайта Apache до 2026‑04‑01.
• 2. Остановите сервис: systemctl stop activemq.
• 3. Сделайте резервную копию текущей конфигурации: cp -r /opt/activemq/conf /opt/activemq/conf.backup_20260415.
• 4. Распакуйте патч в директорию установки: tar -xzvf activemq‑5.17.5‑patch.tar.gz -C /opt/activemq/.
• 5. Проверьте целостность файлов с помощью SHA‑256 хэша, предоставленного в релиз‑ноуте.
• 6. Перезапустите сервис и проверьте статус: systemctl start activemq && systemctl status activemq.
• 7. Выполните тестовое подключение клиентом и отправьте безопасное JMS‑сообщение, убедившись, что ошибка ClassNotFoundException не возникает.

После обновления рекомендуется включить мониторинг JMX и настроить алерты на попытки загрузки неизвестных классов.

Что делать, если система уже скомпрометирована?

Если вы обнаружили следы эксплуатации уязвимости, необходимо немедленно изолировать затронутый сервер и выполнить следующие действия:

• 1. Отключите сетевой интерфейс: ifconfig eth0 down.
• 2. Сохраните логи JMS‑трафика за последние 24 часа в безопасное хранилище.
• 3. Запустите антивирусный сканер с опцией «глубокий анализ» и проверьте наличие неизвестных JAR‑файлов.
• 4. Восстановите конфигурацию из резервной копии, сделанной до 2026‑04‑01, или переустановите Apache ActiveMQ с нуля.
• 5. Установите патч, описанный в предыдущем разделе, и включите строгие политики доступа.
• 6. Проведите форензик‑анализ, оцените потенциальный ущерб; в среднем потери от простоя в 2026 году составляют 12 000 рублей в час.

После завершения всех мероприятий обновите план реагирования на инциденты и проведите обучение персонала, чтобы в будущем сократить время реакции до менее чем 15 минут.

Воспользуйтесь бесплатным инструментом Security Scanner на toolbox-online.ru — работает онлайн, без регистрации.