<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<style type="text/css" id="owaParaStyle" style="display: none;">P {margin-top:0;margin-bottom:0;}</style>
</head>
<body dir="ltr" fpstyle="1" aria-label="Message body" tabindex="0">
<div name="divtagdefaultwrapper" id="divtagdefaultwrapper" style="font-family: Calibri,Arial,Helvetica,sans-serif; font-size: 12pt; color: #000000; margin: 0">
<div><br>
</div>
<div>Package: activemq</div>
<div>Version: 5.6.0+dfsg-1</div>
<div><br>
</div>
<div>It looks like Apache ActiveMQ as packaged for Debian comes with JMX/RMI service listening on all network interfaces and allowing for unauthenticated access.</div>
<div><br>
</div>
<div>Achieving system command execution is as simple as querying JMX for the RMI registry endpoint port number, setting up a local proxy, deploying and executing a malicious managed bean as outlined in this blog post[1].</div>
<div><br>
</div>
<div>It may be worth revising the way you ship ActiveMQ and eventually consider limiting JMX access to localhost.</div>
<div><br>
</div>
<div>The commands below bring up ActiveMQ using the default configuration.</div>
<div><br>
</div>
<div>$ sudo ln -s /etc/activemq/instances-available/main /etc/activemq/instances-enabled/main</div>
<div>$ sudo /etc/init.d/activemq start</div>
<div> * Starting ActiveMQ instance  activemq        [ OK ]</div>
<div>$</div>
<div><br>
</div>
<div>[1] http://www.accuvant.com/blog/exploiting-jmx-rmi</div>
<div><br>
</div>
</div>
</body>
</html>