阿里云漏洞库

低危 Apache Qpid Python客户端SSL证书校验安全漏洞

CVE编号

CVE-2013-1909

利用情况

暂无

补丁情况

官方补丁

披露时间

2013-08-24

漏洞描述

Apache Qpid(Open Source AMQP Messaging)是一个跨平台的企业通讯解决方案，实现了高级消息队列协议。

Apache Qpid Python客户端不正确校验服务器SSL证书，允许可进行中间人攻击的攻击者欺骗服务器，获取敏感信息。

解决建议

Apache Qpid 0.22已经修复此漏洞，建议用户下载更新：
http://qpid.apache.org

参考链接
http://qpid.apache.org/releases/qpid-0.22/release-notes.html
http://rhn.redhat.com/errata/RHSA-2013-1024.html
http://secunia.com/advisories/53968
http://secunia.com/advisories/54137
http://svn.apache.org/viewvc?view=revision&revision=1460013
https://issues.apache.org/jira/browse/QPID-4918

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	apache	qpid	*		Up to (including) 0.20
	运行在以下环境
	应用	apache	qpid	0.10	-
	运行在以下环境
	应用	apache	qpid	0.11	-
	运行在以下环境
	应用	apache	qpid	0.12	-
	运行在以下环境
	应用	apache	qpid	0.13	-
	运行在以下环境
	应用	apache	qpid	0.14	-
	运行在以下环境
	应用	apache	qpid	0.15	-
	运行在以下环境
	应用	apache	qpid	0.16	-
	运行在以下环境
	应用	apache	qpid	0.17	-
	运行在以下环境
	应用	apache	qpid	0.18	-
	运行在以下环境
	应用	apache	qpid	0.19	-
	运行在以下环境
	应用	apache	qpid	0.5	-
	运行在以下环境
	应用	apache	qpid	0.6	-
	运行在以下环境
	应用	apache	qpid	0.7	-
	运行在以下环境
	应用	apache	qpid	0.8	-
	运行在以下环境
	应用	apache	qpid	0.9	-
	运行在以下环境
	应用	redhat	enterprise_mrg	2.0	-
	运行在以下环境
	系统	debian_10	qpid-python	*		Up to (excluding) 0.22-1
	运行在以下环境
	系统	ubuntu_14.04.6_lts	qpid-python	*		Up to (excluding) 0.22+dfsg-1
	运行在以下环境
	系统	ubuntu_16.04.7_lts	qpid-python	*		Up to (excluding) 0.22+dfsg-1

攻击路径

远程
攻击复杂度

复杂
权限要求

无需权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

数据泄露
数据完整性

传输被破坏
服务器危害

无影响
全网数量

N/A

CWE-ID	漏洞类型
CWE-20	输入验证不恰当