RHEL 5：MRG (RHSA-2014:0441)

medium Nessus Plugin ID 76676

語系：

概要

遠端 Red Hat 主機缺少一個或多個安全性更新。

說明

現已提供適用於 Red Hat Enterprise Linux 5 之 Red Hat Enterprise MRG 2.5 的更新版 Messaging 元件套件，可修正一個安全性問題、數個錯誤，並新增多種增強功能。

Red Hat 安全性回應團隊已將此更新評等為具有中等安全性影響。可從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

Red Hat Enterprise MRG (Messaging、Realtime 與 Grid) 是企業計算方面的新一代 IT 基礎結構。MRG 為企業客戶提供增進的效能、可靠性、互通性與更快的計算能力。

MRG Messaging 是針對 Linux 以 AMQP (進階訊息佇列通訊協定) 為基礎所發佈的高速可靠傳訊，這是企業傳訊的開放式通訊協定標準，可將任務重要的傳訊能力廣泛推廣為標準服務，並使企業傳訊能夠跨平台、程式設計語言及供應商互通。MRG Messaging 包含 AMQP 0-10 傳訊 Broker；適用於 C++、Java JMS 與 Python 的 AMQP 0-10 用戶端程式庫；另外還有持續性程式庫與管理工具。

據發現，MRG 管理主控台 (cumin) 使用 crypt(3) DES 式雜湊函式來雜湊密碼。DES 型雜湊中存有一個已知弱點，其允許攻擊者更容易地透過暴力密碼破解，從雜湊復原純文字密碼。能夠入侵 cumin 使用者資料庫的攻擊者可能利用此瑕疵，從該資料庫中儲存的密碼雜湊復原純文字密碼。(CVE-2013-6445)

注意：在使用者帳戶資訊儲存在 cumin 所管理之資料庫中的部署中，建議使用者在套用此更新之後變更其密碼。

此問題是由 Red Hat MRG Quality Engineering 團隊的 Tomáš Nováčik 所發現。

此更新還修正了數個錯誤，並新增數個增強功能。
這些變更的相關文件近期將可從＜參照＞一節中的「技術提示」文件連結中取得。

建議 Red Hat Enterprise MRG 之 Messaging 功能的所有使用者皆升級至這些更新版套件，其可解決這些問題並新增這些增強功能。安裝更新版套件之後，透過對所有節點執行「service qpidd stop」，或對任何一個叢集節點執行「qpid-cluster --all-stop」，可停止叢集。停止之後，對所有節點以「service qpidd start」重新啟動叢集，更新才會生效。