Apache QPID SSL连接拒绝服务漏洞

嘻哈熊

2010-10-12

发布日期：2010-10-08
更新日期：2010-10-11

受影响系统：
Apache Group Qpid < 0.6
不受影响系统：
Apache Group Qpid 0.6
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 43862
CVE(CAN) ID: CVE-2010-3083

Apache Qpid（Open Source AMQP Messaging）是一个跨平台的企业通讯解决方案，实现了高级消息队列协议。

处理到MRG Messaging代理的SSL连接的方式存在漏洞，来自用户或客户端应用的到代理SSL端口的连接可能导致代理无法响应到该端口的任何其他连接，直到第一个连接的SSL握手已完成或失败。远程用户可以利用这个漏洞阻断来自合法客户端的连接。请注意这个漏洞仅影响到SSL端口的连接，代理默认下没有监听SSL连接。

<*来源：Gordon Sim

链接：http://secunia.com/advisories/41710/
        https://bugzilla.redhat.com/show_bug.cgi?format=multiple&id=632657
        https://www.redhat.com/support/errata/RHSA-2010-0757.html
        https://www.redhat.com/support/errata/RHSA-2010-0756.html
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://issues.apache.org/jira/si/jira.issueviews:issue-html/QPID-2083/QPID-2083.html

RedHat
------
RedHat已经为此发布了一个安全公告（RHSA-2010:0756-01）以及相应补丁:
RHSA-2010:0756-01：Moderate: Red Hat Enterprise MRG Messaging security and bug fix update 1.2.2
链接：https://www.redhat.com/support/errata/RHSA-2010-0756.html

qpid apache ssl 科技新闻

安科网

Apache QPID SSL连接拒绝服务漏洞

嘻哈熊

嘻哈熊

相关推荐

Apache Qpid Broker安全漏洞(CVE-2017-15702)

Apache QPID 反序列化安全功能绕过漏洞(CVE-2016-4974)

Apache Qpid Java 身份验证绕过漏洞(CVE-2016-4432)

Apache Qpid Java 拒绝服务漏洞(CVE-2016-3094)

Apache Qpid不完整修复多个拒绝服务漏洞(CVE-2015-0224)

Apache Qpid安全限制绕过漏洞(CVE-2015-0223)

Apache Qpid多个拒绝服务漏洞(CVE-2015-0203)

Apache Qpid 拒绝服务漏洞(CVE-2012-4458)

Apache Qpid qpid::framing::Buffer拒绝服务漏洞(CVE-2012-4460)

Apache Qpid 身份验证绕过漏洞(CVE-2012-4446)

Apache Qpid qpid::framing::Buffer::checkAvailable()拒绝服务

Apache Qpid (qpidd)拒绝服务漏洞

Apache QPID NullAuthenticator身份验证绕过漏洞

Apache Qpid非法访问安全限制绕过漏洞

嘻哈熊