Apache Qpid AMQP 0-x JMS客户端和Qpid JMS客户端安全漏洞

CNNVD-ID编号	CNNVD-201607-011
CVE编号	CVE-2016-4974
发布时间	2016-07-05
更新时间	2016-07-05
漏洞类型	输入验证
漏洞来源	Matthias Kaiser of Code White
危险等级	中危
威胁类型	远程
厂商	apache

漏洞介绍

Apache Qpid是美国阿帕奇（Apache）软件基金会开发的一款面向对象的消息中间件，它是一个AMQP（高级消息队列协议）的实现，可以和符合AMQP协议的系统进行通信，并提供了C++、Python、Java、C＃等编程语言的客户端库。Qpid AMQP 0-x JMS client和Qpid JMS client都是其中的客户端组件。

Apache Qpid AMQP 0-x JMS客户端6.0.3及之前版本和Qpid JMS客户端0.9.0及之前版本中存在安全漏洞，该漏洞源于程序对不可信数据执行反序列化。攻击者可利用该漏洞非法使用类变量。

漏洞补丁

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://issues.apache.org/jira/browse/QPIDJMS-188

参考网址

来源:www.openwall.com

链接：http://www.openwall.com/lists/oss-security/2016/07/02/1
来源:apache

链接：http://qpid.apache.org/components/jms/security-0-x.html
来源:BID

链接：http://www.securityfocus.com/bid/91537
来源:BUGTRAQ

链接：http://www.securityfocus.com/archive/1/archive/1/538813/100/0/threaded
来源:apache

链接：http://qpid.apache.org/components/jms/security.html
来源:apache

链接：https://issues.apache.org/jira/browse/QPIDJMS-188
来源:MISC

链接：http://packetstormsecurity.com/files/137749/Apache-Qpid-Untrusted-Input-Deserialization.html

受影响实体

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201607-011