申し訳ありませんが、この言語ではまだご利用いただけません

English
日本語

［CyRC脆弱性勧告］RabbitMQ、EMQ XおよびVerneMQにおけるサービス拒否の脆弱性

Masato Matsuoka

Jun 13, 2021 / 1 min read

Table of Contents

概要
影響のあるソフトウェア
影響
修正措置
発見者
タイムライン

概要

Synopsys Cybersecurity Research Center（CyRC）は、3つのオープンソースのメッセージブローカー・アプリケーションでサービス拒否の脆弱性を公開しました。メッセージブローカーはソフトウェアシステムで使用され、複数の独立したコンポーネントが確実かつ堅牢に情報を交換できるようにします。

RabbitMQ、EMQ X、VerneMQはオープンソースのメッセージブローカーです。CyRCの調査により、各メッセージブローカーが大量のメモリを消費し、オペレーティングシステムによってアプリケーションが終了する原因となる入力が明らかになりました。

メッセージブローカーは、さまざまなネットワークプロトコルを使用して情報を交換します。広く使用されているプロトコルの1つは、Message Queuing Telemetry Transport（MQTT）です。CyRCは、影響を受ける各メッセージブローカーで過剰なメモリ消費を引き起こす不正な形式のMQTTメッセージを発見しました。

不具合の原因は、すべてクライアント側の入力によるものですが、問題のメカニズムはメッセージブローカーごとに異なります。CyRCは、これらメッセージブローカーで障害を引き起こす3種類の不正な形式のMQTTメッセージを検出しましたが、3つすべてで障害を引き起こす単一のメッセージは検出できませんでした。

影響のあるソフトウェア

CVE-2021-22116
RabbitMQ バージョン 3.8.x から 3.8.16の前まで

CVE-2021-33175
EMQ X バージョン 4.2.8の前まで

CVE-2021-33176
VerneMQ バージョン 1.12.0の前まで

影響

CVE-2021-22116
VMWareのアドバイザリー情報を参照ください https://tanzu.vmware.com/security/cve-2021-22116

CVE-2021-33175
CVSS 3.1 base score: 8.6 (high)

CVSS 3.1 vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H/RL:O/RC:C

CVE-2021-33176
CVSS 3.1 base score: 8.6 (high)

CVSS 3.1 vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H/RL:O/RC:C

修正措置

CVE-2021-22116
RabbitMQ バージョン 3.8.16以降へのアップグレード
https://github.com/rabbitmq/rabbitmq-server/releases/tag/v3.8.16

CVE-2021-22116の修正についてのリリースノート： https://github.com/rabbitmq/rabbitmq-server/releases/tag/v3.8.15

CVE-2021-33175
EMQ X バージョン 4.2.8以降へのアップグレード

https://docs.emqx.io/en/broker/v4.2/changes/changes-4.2.html#version-4-2-8

CVE-2021-33176
VerneMQ バージョン 1.12.0以降へのアップグレード

https://github.com/vernemq/vernemq/releases/tag/1.12.0

発見者

Jonathan Knudsen、Synopsys Cybersecurity Research Centerの研究者。これらの脆弱性は Defensics® fuzz testing toolを使用して発見しました。

Synopsysは、RabbitMQ、VerneMQ、およびEMQ Xチームが速やかに対応し、これらの脆弱性にタイムリーに対処されたことを称賛いたします。

タイムライン

CVE-2021-22116

2021年 3月 9日：初期の情報提供
2021年 4月 7日： VMWare社は検証のうえ確認し、脆弱性に対するパッチをリリース
2021年 4月 9日： VMWareの提供したパッチをJonathan Knudsenが確認
2021年 5月10日： VMWareはアドバイザリーCVE-2021-22116を公開
2021年 6月 8日： Synopsysによるアドバイザリーの公開

CVE-2021-33175

2021年 3月 9日： 初期の情報提供
2021年 3月10日： EMQ X社は検証の上確認し、脆弱性に対するパッチをリリース
2021年 3月11日： EMQ X社の提供したパッチをJonathan Knudsenが確認
2021年 5月10日： CVE IDの作成
2021年 6月 8日： Synopsysによるアドバイザリーの公開

CVE-2021-33176

2021年 3月 9日： 初期の情報提供
2021年 3月10日： VerneMQ社は検証の上脆弱性を確認
2021年 5月10日： CVE ID の作成
2021年 5月20日： VerneMQ社のパッチをJonathan Knudsenが確認
2021年 5月21日： VerneMQ社はバージョン 1.12.0をリリース
2021年 6月 8日： Synopsysによるアドバイザリーの公開

Continue Reading

AI を活用したPolaris Assistでアプリケーションコードの修正を高速化

AI を活用したPolaris Assistでアプリケーションコードの修正を高速化

By Corey Hamilton

May 08, 2024 / 1 min read

Tags: Artificial Intelligence, SIG, Security News & Trends, Build Security into DevOps

2024 OSSRA レポート：オープンソース・コンポーネントの古いコードのリスク

2024 OSSRA レポート：オープンソース・コンポーネントの古いコードのリスク

By Fred Bals

Apr 16, 2024 / 1 min read

Tags: Security News & Trends, ソフトウェア・サプライチェーンをセキュアに, Manage Security Risks, Open Source Security

ソフトウェア脆弱性スナップショットレポートの調査結果

By Black Duck Editorial Staff

Jan 30, 2024 / 1 min read

Tags: Security News & Trends, Mobile, Web AppSec, SAST

[CyRC脆弱性勧告］OpenTSDBの脆弱性CVE-2023-25826およびCVE-2023-25827

By Jamie Harris

Jul 30, 2023 / 1 min read

Tags: Security News & Trends, CyRC

2023年の注目すべきサイバーセキュリティに関する予測

By Taylor Armerding

Mar 25, 2023 / 1 min read

Tags: Security News & Trends

［CyRC脆弱性勧告］CVE-2023-23846 Open5GS GTPライブラリのサービス拒否の脆弱性

［CyRC脆弱性勧告］CVE-2023-23846 Open5GS GTPライブラリのサービス拒否の脆弱性

By Black Duck Editorial Staff

Mar 19, 2023 / 1 min read

Tags: Fuzzing, Security News & Trends, CyRC

トピックを探索する