Apache QPID SSL连接拒绝服务漏洞
发布日期:2010-10-08
更新日期:2010-10-11
受影响系统:
Apache Group Qpid < 0.6
不受影响系统:
Apache Group Qpid 0.6
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 43862
CVE(CAN) ID: CVE-2010-3083
Apache Qpid(Open Source AMQP Messaging)是一个跨平台的企业通讯解决方案,实现了高级消息队列协议。
处理到MRG Messaging代理的SSL连接的方式存在漏洞,来自用户或客户端应用的到代理SSL端口的连接可能导致代理无法响应到该端口的任何其他连接,直到第一个连接的SSL握手已完成或失败。远程用户可以利用这个漏洞阻断来自合法客户端的连接。请注意这个漏洞仅影响到SSL端口的连接,代理默认下没有监听SSL连接。
<*来源:Gordon Sim
链接:http://secunia.com/advisories/41710/
https://bugzilla.redhat.com/show_bug.cgi?format=multiple&id=632657
https://www.redhat.com/support/errata/RHSA-2010-0757.html
https://www.redhat.com/support/errata/RHSA-2010-0756.html
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://issues.apache.org/jira/si/jira.issueviews:issue-html/QPID-2083/QPID-2083.html
RedHat
------
RedHat已经为此发布了一个安全公告(RHSA-2010:0756-01)以及相应补丁:
RHSA-2010:0756-01:Moderate: Red Hat Enterprise MRG Messaging security and bug fix update 1.2.2
链接:https://www.redhat.com/support/errata/RHSA-2010-0756.html