Apache QPID SSL连接拒绝服务漏洞


发布日期:2010-10-08
更新日期:2010-10-11

受影响系统:
Apache Group Qpid < 0.6
不受影响系统:
Apache Group Qpid 0.6
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 43862
CVE(CAN) ID: CVE-2010-3083

Apache Qpid(Open Source AMQP Messaging)是一个跨平台的企业通讯解决方案,实现了高级消息队列协议。

处理到MRG Messaging代理的SSL连接的方式存在漏洞,来自用户或客户端应用的到代理SSL端口的连接可能导致代理无法响应到该端口的任何其他连接,直到第一个连接的SSL握手已完成或失败。远程用户可以利用这个漏洞阻断来自合法客户端的连接。请注意这个漏洞仅影响到SSL端口的连接,代理默认下没有监听SSL连接。

<*来源:Gordon Sim
 
  链接:http://secunia.com/advisories/41710/
        https://bugzilla.redhat.com/show_bug.cgi?format=multiple&id=632657
        https://www.redhat.com/support/errata/RHSA-2010-0757.html
        https://www.redhat.com/support/errata/RHSA-2010-0756.html
*>

建议:
--------------------------------------------------------------------------------
厂商补丁:

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

https://issues.apache.org/jira/si/jira.issueviews:issue-html/QPID-2083/QPID-2083.html

RedHat
------
RedHat已经为此发布了一个安全公告(RHSA-2010:0756-01)以及相应补丁:
RHSA-2010:0756-01:Moderate: Red Hat Enterprise MRG Messaging security and bug fix update 1.2.2
链接:https://www.redhat.com/support/errata/RHSA-2010-0756.html

相关内容