RHEL 5:MRG Messaging(RHSA-2012:1277)
medium Nessus プラグイン ID 76648
Language:
概要
リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。説明
2 つのセキュリティ問題と複数のバグを修正する、多様な拡張機能を追加する、更新済みの Messaging コンポーネントパッケージが、Red Hat Enterprise Linux 5 用の Red Hat Enterprise MRG 2.2 で現在利用可能です。Red Hat セキュリティレスポンスチームは、この更新のセキュリティ上の影響は中程度であると評価しています。詳細な重要度の評価を提供する Common Vulnerability Scoring System (CVSS)のベーススコアが、「参照」セクションの CVE リンクの各脆弱性に対して利用可能です。
Red Hat Enterprise MRG(メッセージング、リアルタイム、グリッド)はエンタープライズコンピューティング用の次世代の IT インフラストラクチャです。MRG では、増大したパフォーマンス、信頼性、相互運用性、そしてより高速なコンピューティングを企業顧客に提供しています。
MRG Messaging は、AMQP(Advanced Message Queuing Protocol)に基づいた Linux 用の高速かつ信頼できるメッセージングディストリビューションです。このプロトコルは、標準デバイスとして利用できるミッションクリティカルなメッセージングを幅広く行えるようにし、プラットフォーム、プログラミング言語、ベンダーにおいて相互運用可能なエンタープライズメッセージングを実現するためのオープンプロトコル規格です。MRG Messaging には、AMQP 0-10 メッセージングブローカー、C++ 用 AMQP 0-10 クライアントライブラリ、 Java JMS、Python、ならびに永続化ライブラリおよび管理ツールが含まれています。
Apache Qpid デーモン(qpidd)が、クライアントからの接続数を制限していなかったことが判明しました。悪意のあるクライアントがこの欠陥を利用して、過剰な数の接続を開くことで、他の正当なクライアントが qpidd と接続することを妨げる可能性があります。(CVE-2012-2145)
CVE-2012-2145 を解決するため、新しい qpidd 構成オプションが導入されました:max-negotiate-time は、最初にプロトコルのネゴシエーションが成功しなければならない時間を指定し、connection-limit-per-user および connection-limit-per-ip はユーザーやクライアントホスト IP 当たりの接続数を制限するために使用することができます。詳細については、 qpidd マニュアルページを参照してください。
qpidd が、新しいブローカーがクラスターに参加するときに作成される「キャッチアップ」シャドー接続に、認証を必要としていないことが判明しました。悪意のあるクライアントが、この欠陥を利用して、クライアント認証をバイパスする可能性があります。(CVE-2012-3467)
また、この更新では、複数のバグを修正し、拡張機能を追加しています。
これらの変更に関するドキュメントは、「参照」セクションでリンクされているテクニカルノートドキュメントから、間もなく入手できるようになります。
Red Hat Enterprise MRG 2.2 の Messaging 機能の全ユーザーは、 Red Hat Enterprise MRG 2 テクニカルノートで言及されている拡張機能を追加するこれらの更新済みのパッケージへアップグレードし、この問題を解決することが推奨されます。更新済みのパッケージをインストールした後、すべてのノード上で「service qpidd stop」を実行するか、クラスターノードの 1 つで「qpid-cluster --all-stop」を実行してクラスターを停止させます。更新を有効にするには、停止後に、すべてのノード上で「service qpidd start」を実行してクラスターを再起動させます。
ソリューション
影響を受けるパッケージを更新してください。参考資料
http://www.nessus.org/u?9345c1b9
https://access.redhat.com/errata/RHSA-2012:1277
プラグインの詳細
深刻度: Medium
ID: 76648
ファイル名: redhat-RHSA-2012-1277.nasl
バージョン: 1.13
タイプ: local
エージェント: unix
公開日: 2014/7/22
更新日: 2021/1/14
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.7
CVSS v2
リスクファクター: Medium
基本値: 5
現状値: 3.7
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:mrg-release, p-cpe:/a:redhat:enterprise_linux:python-qpid, p-cpe:/a:redhat:enterprise_linux:python-qpid-qmf, p-cpe:/a:redhat:enterprise_linux:qpid-cpp-client, p-cpe:/a:redhat:enterprise_linux:qpid-cpp-client-devel, p-cpe:/a:redhat:enterprise_linux:qpid-cpp-client-devel-docs, p-cpe:/a:redhat:enterprise_linux:qpid-cpp-client-rdma, p-cpe:/a:redhat:enterprise_linux:qpid-cpp-client-ssl, p-cpe:/a:redhat:enterprise_linux:qpid-cpp-server, p-cpe:/a:redhat:enterprise_linux:qpid-cpp-server-cluster, p-cpe:/a:redhat:enterprise_linux:qpid-cpp-server-devel, p-cpe:/a:redhat:enterprise_linux:qpid-cpp-server-rdma, p-cpe:/a:redhat:enterprise_linux:qpid-cpp-server-ssl, p-cpe:/a:redhat:enterprise_linux:qpid-cpp-server-store, p-cpe:/a:redhat:enterprise_linux:qpid-cpp-server-xml, p-cpe:/a:redhat:enterprise_linux:qpid-java-client, p-cpe:/a:redhat:enterprise_linux:qpid-java-common, p-cpe:/a:redhat:enterprise_linux:qpid-java-example, p-cpe:/a:redhat:enterprise_linux:qpid-jca, p-cpe:/a:redhat:enterprise_linux:qpid-jca-xarecovery, p-cpe:/a:redhat:enterprise_linux:qpid-qmf, p-cpe:/a:redhat:enterprise_linux:qpid-qmf-devel, p-cpe:/a:redhat:enterprise_linux:qpid-tools, p-cpe:/a:redhat:enterprise_linux:ruby-qpid-qmf, cpe:/o:redhat:enterprise_linux:5
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2012/9/19
参照情報
CVE: CVE-2012-2145, CVE-2012-3467
BID: 54954
RHSA: 2012:1277