PT-2022-20455 · Rabbitmq+2 · Rabbitmq+2
Anh Nguyen
+2
·
Publicado
2022-10-06
·
Atualizado
2024-06-19
·
CVE-2022-31008
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do RabbitMQ anteriores à 3.10.2
Versões do RabbitMQ anteriores à 3.9.18
Versões do RabbitMQ anteriores à 3.8.32
Descrição
O RabbitMQ é um broker de mensagens e streaming multiprotocolo. Nas versões afetadas, os plug-ins shovel e federation realizam ofuscação de URI em seu estado de trabalho. A chave de criptografia usada para criptografar a URI foi inicializada com um segredo previsível. Isso significa que, em caso de certas exceções relacionadas aos plug-ins Shovel e Federation, dados razoavelmente fáceis de desofuscar poderiam aparecer no log do nó. As versões corrigidas utilizam corretamente um segredo válido para todo o cluster para essa finalidade.
Recomendações
Para versões anteriores à 3.10.2, atualize para a versão 3.10.2 ou posterior.
Para versões anteriores à 3.9.18, atualize para a versão 3.9.18 ou posterior.
Para versões anteriores à 3.8.32, atualize para a versão 3.8.32 ou posterior.
Como solução temporária, considere desativar os plug-ins Shovel e Federation até que um patch esteja disponível.
Exploit
Correção
Use of Insufficiently Random Values
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Debian
Rabbitmq
Suse