CVE-2012-3467

描述

Apache QPID 0.14, 0.16, and earlier uses a NullAuthenticator mechanism to authenticate catch-up shadow connections to AMQP brokers, which allows remote attackers to bypass authentication.

如何修補 CVE-2012-3467

要修補 CVE-2012-3467,請將受影響套件升級到下列已修補版本。

• Maven/org.apache.qpid:qpid-parent—升級至 0.17 或更新版本

CVE-2012-3467 正在被利用嗎?

中等 — EPSS 為 6.4%,可持續追蹤但非最高優先。

受影響套件(1)

• from 0, < 0.17

參考連結(10)

• ADVISORYnvd.nist.gov/vuln/detail/CVE-2012-3467
• PATCHgithub.com/apache/qpid
• WEBrhn.redhat.com/errata/RHSA-2012-1277.html
• WEBrhn.redhat.com/errata/RHSA-2012-1279.html
• WEBbugzilla.redhat.com/show_bug.cgi?id=836276