RabbitMQ 3.8.x < 3.8.32 / 3.9.x < 3.9.18 / 3.10.x < 3.10.2 予測可能な認証情報の難読化
high Nessus プラグイン ID 234567
Language:
概要
リモートホストにインストールされているアプリケーションは、脆弱性の影響を受けます。説明
リモートホストにインストールされている RabbitMQ のバージョンは、 3.8.x より前の 3.8.32、 3.9.x より前の 3.9.18、または 3.10.x3.10.2] より前の です。したがって、脆弱性の影響を受けます。- RabbitMQ は、マルチプロトコルメッセージングおよびストリーミングブローカーです。影響を受けるバージョンでは、shovel およびフェデレーションプラグインは、ワーカー (リンク) 状態で URI 難読化を実行します。URI の暗号化に使用される暗号化キーに、予測可能なシークレットがシードされました。これは、Shovel および Federation のプラグインに関連する特定の例外を除き、難読化解除可能なデータがノードログに記録される可能性があることを意味します。 (CVE-2022-31008)
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
RabbitMQをバージョン 3.8.32、 3.9.18、または 3.10.2 以降にアップグレードしてください。参考資料
プラグインの詳細
深刻度: High
ID: 234567
ファイル名: rabbitmq_3_10_2.nasl
バージョン: 1.1
タイプ: local
エージェント: unix
ファミリー: Misc.
公開日: 2025/4/17
更新日: 2025/4/17
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
CVSS v2
リスクファクター: High
基本値: 7.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:N
CVSS スコアのソース: CVE-2022-31008
CVSS v3
リスクファクター: High
基本値: 7.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
脆弱性情報
CPE: cpe:/a:pivotal_software:rabbitmq
必要な KB アイテム: installed_sw/RabbitMQ
パッチ公開日: 2022/10/5
脆弱性公開日: 2022/10/5
参照情報
CVE: CVE-2022-31008