Apache QPID SSL连接拒绝服务漏洞

漏洞起因
设计错误
危险等级

 
影响系统
Apache Qpid C++ broker & client 0.5
 
不受影响系统
 
危害
远程攻击者可以利用漏洞使服务不能处理其他请求,造成拒绝服务。
 
攻击所需条件
攻击者必须访问Apache Qpid。
 
漏洞信息
Apache Qpid是一款跨平台的企业通讯解决方案。
Apache Qpid处理SSL链接存在漏洞,允许攻击者阻止其他用户进行连接,造成拒绝服务攻击。
如果客户端或应用程序对MGR Broker监听的SSL端口发起连接,客户端连接会阻断对端口的访问直至SSL握手完成(或失败)。如果客户端没有正确处理连接,那么线程不会释放处理其他连接,使服务不能处理其他客户端请求。默认不支持SSL连接。
 
测试方法
 
厂商解决方案
用户可参考如下供应商提供的安全公告获得补丁信息:
http://svn.apache.org/viewvc/qpid/trunk/qpid/cpp/src/qpid/sys/ssl/SslSocket.cpp?r1=919487&r2=938992
 
漏洞提供者
Red Hat bug report
 
漏洞消息链接
https://bugzilla.redhat.com/show_bug.cgi?id=632657

发表评论?

0 条评论。

发表评论