| Il trasporto Apache Qpid Proton-J comprende uno strato avvolgitore opzionale per eseguire TLS, attivata secondo la ‘transport.ssl (…)’ metodi. A meno che una modalità di verifica è stato esplicitamente configurato, modalità client e server in precedenza in default come documentato di non verificare un certificato pari, con opzioni per configurare questo in modo esplicito o selezionare una modalità di verifica del certificato, con o senza nome host di verifica in corso di esecuzione. La modalità host verifica quest’ultima non è stata attuata in Apache Qpid Proton-J versioni 0,3 e 0.29.0, con tentativi di utilizzare esso determina un’eccezione. Questo ha lasciato solo l’opzione per verificare il certificato è attendibile, lasciando tale cliente vulnerabile a man in the middle (MITM) attacco. Usi del motore protocollo Proton-J, che non utilizzano i TLS trasporto opzionali involucro non sono interessate, per esempio utilizzo all’interno Qpid JMS. Usi di Proton-J che utilizzano i trasporti TLS opzionali involucro layer che desiderano consentire la verifica hostname deve essere aggiornato alla versione 0.30.0 o successiva e utilizzare la configurazione VerifyMode # VERIFY_PEER_NAME, che ora è l’impostazione predefinita per l’utilizzo in modalità client a meno configurato diversamente. |
| http://www.securityfocus.com/bid/105935 https://issues.apache.org/jira/browse/PROTON-1962 https://mail-archives.apache.org/mod_mbox/qpid-users/201811.mbox/%3CCAFitrpQSV73Vz7rJYfLJK7gvEymZSCR5ooWUeU8j4jzRydk-eg%40mail.gmail.com%3E https://qpid.apache.org/cves/CVE-2018-17187.html https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-17187 |
Vulnerabilità: CVE-2018-17187
