CH azonosító
CH-13812Angol cím
Apache Qpid Authentication Providers Username Enumeration Information Disclosure VulnerabilityFelfedezés dátuma
2017.01.03.Súlyosság
KözepesÖsszefoglaló
Az Apache Qpid közepes besorolású sérülékenysége vált ismertté, amelyet kihasználva a támadók bizalmas információkhoz juthatnak.
Leírás
A Qpid sérülékenységét a támadó akkor tudja kihasználni, ha a rendszer SCRAM-SHA-1 vagy SCRAM-SHA-256 titkosítási eljárást használ. Ha hitelesítéssel nem rendelkező támadó egy speciális kérés segítségével hozzáférhet a felhasználók adataihoz, amelyet további támadásokhoz használhat fel. A sérülékenységet sokkal nehezebb kihasználni, ha a rendszer nem fogad ellenőrizetlen forrásból származó kéréseket.
Megoldás
Frissítsen az Apache Qpid 6.0.6 vagy 6.1.1 verzióra.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: tools.cisco.com
Gyártói referencia: issues.apache.org
CVE-2016-8741 - NVD CVE-2016-8741