RHEL 5：MRG (RHSA-2014:0441)

medium Nessus 插件 ID 76676

语言：

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

更新后的 Messaging 组件程序包修复了一个安全问题和若干缺陷，并添加了多种增强，现在可用于 Red Hat Enterprise Linux 5 的 Red Hat Enterprise MRG 2.5。

Red Hat 安全响应团队已将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数，其给出了详细的严重性等级。

Red Hat Enterprise MRG（Messaging、Realtime 和 Grid）是用于企业计算的下一代 IT 基础架构。MRG 为企业客户提供更高的性能、可靠性和互操作性以及更快的计算速度。

MRG Messaging 是基于 AMQP（高级消息队列协议）的针对 Linux 的高速可靠消息分发工具，该工具是一个为企业消息传送设计的开放协议标准，可使关键任务消息传送作为标准服务进行广泛使用，并实现企业消息传送在各类平台、编程语言和供应商之间的互操作性。MRG Messaging 包括一个 AMQP 0-10 消息代理；用于 C++、Java JMS 和 Python 的 AMQP 0-10 客户端库；以及暂留库和管理工具。

已发现 MRG 管理控制台 (cumin) 使用 crypt(3) 基于 DES 的哈希函数对密码执行哈希操作。基于 DES 的哈希处理具有已知的弱点，可允许攻击者通过暴力破解猜测从哈希中更轻松地恢复明文密码。可以危及 cumin 用户数据库的攻击者可能利用此缺陷恢复该数据库中存储的密码哈希内的明文密码。(CVE-2013-6445)

注意：对于将用户帐户信息存储在由 cumin 管理的数据库中的部署，建议用户在应用此更新之后更改自己的密码。

此问题是由 Red Hat MRG 质量工程团队的 Tomáš Nováčik 发现的。

此更新还修复了多个缺陷并添加了增强。
“参考”部分链接的技术札记文档中近期将提供这些更改的文档。

建议所有使用 Red Hat Enterprise MRG 的 Messaging 功能的用户升级这些更新后的程序包，其中解决了这些问题并添加了这些增强。安装更新后的程序包后，请通过在所有节点上运行“service qpidd stop”或在任一群集节点上运行“qpid-cluster --all-stop”停止群集。停止后，在所有节点上使用“service qpidd start”重新启动群集才能使更新生效。