Eine Sicherheitslücke in Red Hats Enterprise-Produkt MRG (Messaging, Realtime, Grid) hat zur Folge, dass ein entfernter Angreifer möglicherweise an sensible Informationen gelangen kann.
Bei MRG handelt es sich um eine IT-Infrastrukturlösung, die für Enterprise Computing ausgelegt ist und höhere Performance, Verlässlichkeit und Compute-Geschwindigkeit für Enterprise-Kunden bietet. MRG zielt vor allem auf das vereinfachte Verwalten von unternehmensinternen Umgebungen für High Performance Computing (HPC) ab.
MRG stellt ein sehr schnelles Messaging-Distribution-System bereit, das auf AMQP (Advanced Message Queuing Protocol) basiert. MRG Messaging enthält einen AMQP 0-10 Messaging Broker, AMQP 0-10 Client-Bibliotheken für C++, Java JMS, Python sowie weitere Management-Tools.
Die kürzlich von Petr Matousek entdeckte Schwachstelle betrifft die Python-Client-Bibliothek Qpid. Diese validiert TLS/SSL-Zertifikate entfernter Server nicht korrekt, auch wenn die “ssl_trustfile”-Option gesetzt ist. Hierdurch kann ein Angreifer typische Man-in-the-Middle-Attacken durchführen und so an sensible Informationen gelangen.
Ein entsprechender Patch korrigiert die Schwachstelle in den Dateien “qpid/trunk/qpid/python/qpid/messaging/transports.py” und “qpid/trunk/qpid/python/qpid/messaging/endpoints.py”.
Betroffen von diesem Problem sind MRG Grid Execute Node for RHEL 6 Compute Node v.2 – noarch, x86_64 und Red Hat MRG Messaging for RHEL 6 Server v.2 – i386, noarch, x86_64.
