Säkerhetsinformation / 2017 / Säkerhetsinformation -- DSA-3761-1 rabbitmq-server

Säkerhetsbulletin från Debian

DSA-3761-1 rabbitmq-server -- säkerhetsuppdatering

Rapporterat den:

2017-01-13

Berörda paket:

rabbitmq-server

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 849849.
I Mitres CVE-förteckning: CVE-2016-9877.

Ytterligare information:

Man har upptäckt att RabbitMQ, en implementation av AMQP-protokollet, inte validerar MQTT (MQ Telemetry Transport) anslutningsauktorisering ordentligt. Detta tillåter alla att logga in i ett existerande användarkonto utan att ange ett lösenord.

För den stabila utgåvan (Jessie) har detta problem rättats i version 3.3.5-1.1+deb8u1.

För uttestningsutgåvan (Stretch) och den instabila utgåvan (Sid), har detta problem rättats i version 3.6.6-1.

Vi rekommenderar att ni uppgraderar era rabbitmq-server-paket.