漏洞起因
访问验证错误
危险等级
中
影响系统
Red Hat MRG Messaging RHEL 6 Server 2
Red Hat MRG Messaging for RHEL Server 2
Red Hat MRG Management for RHEL ComputeNode 2
Red Hat MRG Management RHEL 6 Server 2
Red Hat MRG Management RHEL 5 Server 2
Red Hat MRG Grid Execute Node for RHEL 6 ComputeNode 2
Red Hat Enterprise MRG Messaging 2.1
不受影响系统
危害
远程攻击者可以利用漏洞获得集群消息或内部qpid/MRG配置信息。
攻击所需条件
攻击者必须访问Apache Qpid。
漏洞信息
Apache Qpid (Open Source AMQP Messaging)是一个跨平台的企业通讯解决方案,实现了高级消息队列协议。
当使用集群用户名加入集群时,Apache Qpid存在一个缺陷会接收任意密码或SASL验证凭据,这可导致恶意远程攻击者未授权访问集群,能够接收复制到集群的消息,可发送任意集群消息,标记任意当前消息为consumed,在集群中运行任意作业,或查看/修改/创建任意用户作业。仅当集群消息和内部qpid/MRG配置可被攻击者获取。
测试方法
厂商解决方案
用户可参考如下供应商提供的安全公告获得补丁信息:
https://reviews.apache.org/r/2988/diff/
https://issues.apache.org/jira/browse/QPID-3652
漏洞提供者
Red Hat
评论关闭。