发布日期：2019-07-12
更新日期：2019-07-12

受影响系统：

Apache Qpid Broker for Java 7.1
Apache Qpid Broker for Java 7.0.6
Apache Qpid Broker for Java 6.1.5
Apache Qpid Broker for Java 6.1.4
Apache Qpid Broker for Java 6.1.3
Apache Qpid Broker for Java 6.1.2
Apache Qpid Broker for Java 6.1.1
Apache Qpid Broker for Java 6.1
Apache Qpid Broker for Java 6.0.6
Apache Qpid Broker for Java 6.0.5
Apache Qpid Broker for Java 6.0.4
Apache Qpid Broker for Java 6.0.3
Apache Qpid Broker for Java 6.0.2
Apache Qpid Broker for Java 6.0.1
Apache Qpid Broker for Java 6.0

不受影响系统：

Apache Qpid Broker for Java 7.1.1
Apache Qpid Broker for Java 7.0.7

描述：

---

BUGTRAQ  ID: 107215
CVE(CAN) ID: CVE-2019-0200

Apache Qpid是美国Apache软件基金会的一款面向对象的消息中间件。该产品是一个AMQP（高级消息队列协议）的实现，可以和符合AMQP协议的系统进行通信，并提供了C++、Python、Java、C#等编程语言的客户端库。Qpid Broker-J是其中的一个使用Java编写的中间件消息代理组件。
Apache Qpid Broker-J 6.0.0至7.0.6以及7.1.0版本中存在拒绝服务漏洞。未经身份验证的攻击者可利用该漏洞通过使用AMQP protocol1.0之前的版本发送特制命令导致broker实例崩溃。

<*来源：Alex Rudyy
  
  链接：https://seclists.org/oss-sec/2019/q1/152
*>

建议：

---

厂商补丁：

SECLISTS
--------
SECLISTS已经为此发布了一个安全公告（CVE-2019-0200）以及相应补丁:
CVE-2019-0200：[SECURITY] CVE-2019-0200: Apache Qpid Broker-J Denial of Service due to malformed AMQP 0-8 to 0-10 commands
链接：https://seclists.org/oss-sec/2019/q1/152

补丁下载：

浏览次数：1218
严重程度：0（网友投票）