Apache ActiveMQ: 由于内存耗尽导致的拒绝服务漏洞

### 漏洞概述 Apache ActiveMQ 的 NIO SSL 传输层在处理 TLSv1.3 协议中的 `KeyUpdate` 消息时存在缺陷。攻击者可以通过在 TLSv1.3 连接中频繁发送 `KeyUpdate` 消息，迫使 Broker 的 SSL 引擎不断进行更新操作，从而导致内存耗尽（Out of Memory），最终引发拒绝服务（DoS）。 ### 影响范围 - Apache ActiveMQ Client: < 5.19.4, 6.0.0 <= v < 6.2.4 - Apache ActiveMQ Broker: < 5.19.4, 6.0.0 <= v < 6.2.4 - Apache ActiveMQ (All): < 5.19.4, 6.0.0 <= v < 6.2.4 ### 利用条件 1. 目标服务启用了 NIO SSL 传输。 2. 客户端与服务端之间使用 TLSv1.3 协议进行通信。 3. 攻击者能够向目标发送大量的 TLSv1.3 `KeyUpdate` 消息。 ### 修复建议 建议用户升级到以下已修复的版本： - 5.19.5 或更高版本 - 6.2.4 或更高版本 ### 参考链接 - https://github.com/advisories/GHSA-5568-6qcg-g7fx - https://nvd.nist.gov/vuln/detail/CVE-2026-39304 - https://activemq.apache.org/security-advisories.data/CVE-2026-39304-announcement.txt