Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Paket Red Hat Enterprise MRG Messaging 2.2
Betroffene Plattformen:
MRG Grid Execute Node for RHEL 5 Server v.2 – noarch
MRG Grid for RHEL 5 Server v.2 – noarch
MRG Management for RHEL 5 Server v.2 – noarch
Red Hat MRG Messaging for RHEL 5 Server v.2 – i386, noarch, x86_64
Aufgrund von Schwachstellen in MRG Messaging 2.2 kann ein lokaler Angreifer
einen Denial-of-Service-Angriff durchführen oder clientseitige
Authentifizierung umgehen.
Software Upgrade:
Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.
CVE-2012-2145: Schwachstelle in Qpid
In dem Qpid-Daemon werden mögliche Beschränkungen für die Anzahl der
Client-Verbindungen nicht umgesetzt. Einem Angreifer mit Zugriff auf einen
Client ist es damit möglich, schlimmstenfalls einen
Denial-of-Service-Angriff durchzuführen, indem er eine große Menge von
Verbindungen öffnet.
CVE-2012-3467: Schwachstelle in Red Hat Enterprise MRG Messaging
Im Apache Qpid-Daemon “qpidd” ist keine Authentifizierung für den Aufbau von
‘catch-up Schattenverbindungen’ notwendig, wenn ein neuer Broker dem Cluster
beigetreten ist. Einem entfernten Angreifer mit Zugriff auf einen Client ist
es damit möglich, die clientseitige Authentifizierung zu umgehen und er
erhält somit schlimmstenfalls Zugriff auf vertrauliche Informationen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-1852/
Das Hersteller Advisory:
https://rhn.redhat.com/errata/RHSA-2012-1277.html
Schwachstelle CVE-2012-2145:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2145
Schwachstelle CVE-2012-3467:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-3467
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
