CVE-2025-27533: Apache ActiveMQ Memory Allocation Bug Could Lead to Denial of Service
2025/05/08 SecurityOnline — 複数のプロトコルとクロス・プラットフォーム統合を強力にサポートする、OSS のメッセージ・ブローカー Apache ActiveMQ に、深刻なメモリ割り当ての脆弱性 CVE-2025-27533 が発見され、サービス拒否 (DoS) 攻撃が引き起こされる可能性が生じている。
この脆弱性 CVE-2025-27533 は、OpenWire コマンドのアンマーシャリング時に、バッファ・サイズの検証が適切に行われないことに起因する。この脆弱性を悪用する攻撃者は、細工したメッセージを送信することで過剰なメモリ割り当てを引き起こし、システム・リソースを枯渇させ、このブローカー・サービスをクラッシュさせる可能性を手にする。
Apache ActiveMQ の広範なバージョンに、この脆弱性は影響を及ぼす。
- 6.1.6 未満
- 5.18.7 未満
- 5.17.7 未満
- 5.16.8 未満
- 幸いにも、バージョン 5.19.0 以降は影響を受けないという。
この脆弱性への対策として、Apache は以下のことを強く推奨している。
パッチ適用済みバージョンへのアップグレード:
- 6.1.6 以降
- 5.19.0 以降
- 5.18.7
- 5.17.7
- 5.16.8
速やかなアップグレードが不可能な環境では、一時的な緩和策として、ActiveMQ ブローカーで相互 TLS (mTLS) を有効化してほしい。
Apache ActiveMQ に DoS 脆弱性が発見されました。同製品には、先週にも別の深刻な脆弱性が報告されています (2025/05/01:Apache ActiveMQ の脆弱性 CVE-2025-29953 が FIX:デシリアライズ・エラーによる RCE)。ご利用のチームは、十分にご注意ください。よろしければ、Apache で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.