Apache Qpid AMQP 0-x JMS客户端和Qpid JMS客户端安全漏洞
| CNNVD-ID编号 | CNNVD-201607-011 | CVE编号 | CVE-2016-4974 |
| 发布时间 | 2016-07-05 | 更新时间 | 2016-07-05 |
| 漏洞类型 | 输入验证 | 漏洞来源 | Matthias Kaiser of Code White |
| 危险等级 | 中危 | 威胁类型 | 远程 |
| 厂商 | apache | ||
漏洞介绍
Apache Qpid是美国阿帕奇(Apache)软件基金会开发的一款面向对象的消息中间件,它是一个AMQP(高级消息队列协议)的实现,可以和符合AMQP协议的系统进行通信,并提供了C++、Python、Java、C#等编程语言的客户端库。Qpid AMQP 0-x JMS client和Qpid JMS client都是其中的客户端组件。
Apache Qpid AMQP 0-x JMS客户端6.0.3及之前版本和Qpid JMS客户端0.9.0及之前版本中存在安全漏洞,该漏洞源于程序对不可信数据执行反序列化。攻击者可利用该漏洞非法使用类变量。
漏洞补丁
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://issues.apache.org/jira/browse/QPIDJMS-188
参考网址
来源:www.openwall.com
链接:http://www.openwall.com/lists/oss-security/2016/07/02/1
来源:apache
链接:http://qpid.apache.org/components/jms/security-0-x.html
来源:BID
链接:http://www.securityfocus.com/bid/91537
来源:BUGTRAQ
链接:http://www.securityfocus.com/archive/1/archive/1/538813/100/0/threaded
来源:apache
链接:http://qpid.apache.org/components/jms/security.html
来源:apache
链接:https://issues.apache.org/jira/browse/QPIDJMS-188
来源:MISC
链接:http://packetstormsecurity.com/files/137749/Apache-Qpid-Untrusted-Input-Deserialization.html
受影响实体
Apache Jms_client_amqp:0.9.0 Apache Amqp_0-X_jms_client:6.0.3信息来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201607-011
评论