发布日期：2010-10-08
更新日期：2010-10-11

受影响系统：

Apache Group Qpid < 0.6

不受影响系统：

Apache Group Qpid 0.6

描述：

---

BUGTRAQ  ID: 43862
CVE(CAN) ID: CVE-2010-3083

Apache Qpid（Open Source AMQP Messaging）是一个跨平台的企业通讯解决方案，实现了高级消息队列协议。

处理到MRG Messaging代理的SSL连接的方式存在漏洞，来自用户或客户端应用的到代理SSL端口的连接可能导致代理无法响应到该端口的任何其他连接，直到第一个连接的SSL握手已完成或失败。远程用户可以利用这个漏洞阻断来自合法客户端的连接。请注意这个漏洞仅影响到SSL端口的连接，代理默认下没有监听SSL连接。

<*来源：Gordon Sim
  
  链接：http://secunia.com/advisories/41710/
        https://bugzilla.redhat.com/show_bug.cgi?format=multiple&id=632657
        https://www.redhat.com/support/errata/RHSA-2010-0757.html
        https://www.redhat.com/support/errata/RHSA-2010-0756.html
*>

建议：

---

厂商补丁：

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://issues.apache.org/jira/si/jira.issueviews:issue-html/QPID-2083/QPID-2083.html

RedHat
------
RedHat已经为此发布了一个安全公告（RHSA-2010:0756-01）以及相应补丁:
RHSA-2010:0756-01：Moderate: Red Hat Enterprise MRG Messaging security and bug fix update 1.2.2
链接：https://www.redhat.com/support/errata/RHSA-2010-0756.html

浏览次数：2518
严重程度：0（网友投票）