RHEL 6:MRG(RHSA-2013:1024)
high Nessus プラグイン ID 76661
Language:
概要
リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。説明
1 つのセキュリティ問題と複数のバグを修正する更新済みの Messaging コンポーネントパッケージが、Red Hat Enterprise Linux 6 用の Red Hat Enterprise MRG 2.3 で現在利用可能です。Red Hat セキュリティレスポンスチームは、この更新のセキュリティ上の影響は中程度であると評価しています。詳細な重要度評価を示す Common Vulnerability Scoring System(CVSS)ベーススコアは「参照」セクションの CVE リンクで入手できます。
Red Hat Enterprise MRG(メッセージング、リアルタイム、グリッド)はエンタープライズコンピューティング用の次世代の IT インフラストラクチャです。MRG では、増大したパフォーマンス、信頼性、相互運用性、そしてより高速なコンピューティングを企業顧客に提供しています。
MRG Messaging は、AMQP(Advanced Message Queuing Protocol)に基づいた Linux 用の高速かつ信頼できるメッセージングディストリビューションです。このプロトコルは、標準デバイスとして利用できるミッションクリティカルなメッセージングを幅広く行えるようにし、プラットフォーム、プログラミング言語、ベンダーにおいて相互運用可能なエンタープライズメッセージングを実現するためのオープンプロトコル規格です。MRG Messaging には、AMQP 0-10 メッセージングブローカー、C++ 用 AMQP 0-10 クライアントライブラリ、 Java JMS、Python、ならびに永続化ライブラリおよび管理ツールが含まれています。
AMQP の Qpid Python クライアントライブラリが、「ssl_trustfile」接続オプションが指定された場合であっても、リモートサーバーの証明書の TLS/SSL 証明書検証を適切に実行しないことが判明しました。不正なサーバーはこの欠陥を利用して中間者攻撃を実行し、機密情報の漏洩につながる可能性があります。(CVE-2013-1909)
この更新により、信頼できる CA 証明書が含まれるファイルへのパスを指定することで、Python プログラムはライブラリにサーバー証明書を検証するように指示できます。
この問題は、Red Hat MRG Messaging チームの Petr Matousek 氏により発見されました。
この更新では、複数のバグも修正されています。これらの変更に関するドキュメントは、「参照」セクションでリンクされているテクニカルノートドキュメントから、間もなく入手できるようになります。
Red Hat Enterprise MRG 2.3 の Messaging 機能の全ユーザーは、これらの更新済みのパッケージへアップグレードし、Red Hat Enterprise MRG 2 テクニカルノートで言及されているこの問題を解決することが推奨されます。更新済みのパッケージをインストールした後、すべてのノード上で「service qpidd stop」を実行するか、クラスターノードの 1 つで「qpid-cluster --all-stop」を実行してクラスターを停止させます。更新を有効にするには、停止後に、すべてのノード上で「service qpidd start」を実行してクラスターを再起動させます。
ソリューション
影響を受けるパッケージを更新してください。参考資料
http://www.nessus.org/u?cff5eec4
http://www.nessus.org/u?f15936db
https://access.redhat.com/errata/RHSA-2013:1024
https://access.redhat.com/security/updates/classification/#moderate
プラグインの詳細
深刻度: High
ID: 76661
ファイル名: redhat-RHSA-2013-1024.nasl
バージョン: 1.15
タイプ: local
エージェント: unix
公開日: 2014/7/22
更新日: 2025/4/15
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
Vendor
Vendor Severity: Moderate
CVSS v2
リスクファクター: Medium
基本値: 5.8
現状値: 4.3
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N
CVSS スコアのソース: CVE-2013-1909
CVSS v3
リスクファクター: High
基本値: 7.5
現状値: 6.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
CVSS v4
リスクファクター: High
Base Score: 8.7
Threat Score: 6.6
Threat Vector: CVSS:4.0/E:U
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:qpid-cpp-server-store, cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:qpid-cpp-client-ssl, p-cpe:/a:redhat:enterprise_linux:qpid-cpp-server, p-cpe:/a:redhat:enterprise_linux:qpid-cpp-server-rdma, p-cpe:/a:redhat:enterprise_linux:qpid-cpp-server-xml, p-cpe:/a:redhat:enterprise_linux:qpid-java-common, p-cpe:/a:redhat:enterprise_linux:qpid-cpp-client-rdma, p-cpe:/a:redhat:enterprise_linux:qpid-cpp-client-devel-docs, p-cpe:/a:redhat:enterprise_linux:python-qpid-qmf, p-cpe:/a:redhat:enterprise_linux:qpid-java, p-cpe:/a:redhat:enterprise_linux:qpid-cpp-server-devel, p-cpe:/a:redhat:enterprise_linux:qpid-tools, p-cpe:/a:redhat:enterprise_linux:ruby-qpid-qmf, p-cpe:/a:redhat:enterprise_linux:qpid-cpp-client, p-cpe:/a:redhat:enterprise_linux:qpid-cpp, p-cpe:/a:redhat:enterprise_linux:qpid-cpp-server-cluster, p-cpe:/a:redhat:enterprise_linux:qpid-java-client, p-cpe:/a:redhat:enterprise_linux:qpid-cpp-client-devel, p-cpe:/a:redhat:enterprise_linux:qpid-java-example, p-cpe:/a:redhat:enterprise_linux:python-qpid, p-cpe:/a:redhat:enterprise_linux:qpid-qmf-devel, p-cpe:/a:redhat:enterprise_linux:qpid-cpp-server-ssl, p-cpe:/a:redhat:enterprise_linux:qpid-qmf
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2013/7/11
脆弱性公開日: 2013/8/23
参照情報
CVE: CVE-2013-1909
BID: 60800
RHSA: 2013:1024