ソフトウェア・インテグリティ

 

[CyRC脆弱性勧告]RabbitMQ、EMQ XおよびVerneMQにおけるサービス拒否の脆弱性

CVE-2021-22116、CVE-2021-33175、およびCVE-2021-33176は、一般的なオープンソースのメッセージブローカー・アプリケーションにおけるサービス拒否の脆弱性です。

CyRC-analysis.jpg

概要

Synopsys Cybersecurity Research Center(CyRC)は、3つのオープンソース・メッセージブローカー・アプリケーションでサービス拒否の脆弱性を公開しています。メッセージブローカーはソフトウェア・システムで使用され、複数の独立したコンポーネントが確実かつ堅牢に情報を交換できるようにします。

RabbitMQEMQ XVerneMQはオープンソースのメッセージブローカーです。CyRCの調査により、各メッセージブローカーが大量のメモリを消費し、オペレーティングシステムによってアプリケーションが終了する原因となる入力が明らかになりました。

メッセージブローカーは、さまざまなネットワークプロトコルを使用して情報を交換します。広く使用されているプロトコルの1つは、Message Queuing Telemetry Transport(MQTT)です。CyRCは、影響を受ける各メッセージブローカーで過剰なメモリ消費を引き起こす不正な形式のMQTTメッセージを発見しました。

失敗の原因は、すべてクライアント側の入力によるものですが、失敗のメカニズムはメッセージブローカーごとに異なります。CyRCは、これらメッセージブローカーで障害を引き起こす3種類の不正な形式のMQTTメッセージを検出しましたが、3つすべてで障害を引き起こす単一のメッセージは検出できませんでした。

影響のあるソフトウェア

CVE-2021-22116
RabbitMQ バージョン 3.8.x から 3.8.16の前まで

CVE-2021-33175
EMQ X バージョン 4.2.8の前まで

CVE-2021-33176
VerneMQ バージョン 1.12.0の前まで

影響

CVE-2021-22116
VMWareのアドバイザリー情報を参照ください https://tanzu.vmware.com/security/cve-2021-22116

CVE-2021-33175
CVSS 3.1 base score: 8.6 (high)

CVSS 3.1 vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H/RL:O/RC:C

CVE-2021-33176
CVSS 3.1 base score: 8.6 (high)

CVSS 3.1 vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H/RL:O/RC:C

修正措置

CVE-2021-22116
RabbitMQ バージョン 3.8.16以降へのアップグレード
https://github.com/rabbitmq/rabbitmq-server/releases/tag/v3.8.16

CVE-2021-22116の修正についてのリリースノート: https://github.com/rabbitmq/rabbitmq-server/releases/tag/v3.8.15

CVE-2021-33175
EMQ X バージョン 4.2.8以降へのアップグレード

https://docs.emqx.io/en/broker/v4.2/changes/changes-4.2.html#version-4-2-8

CVE-2021-33176
VerneMQ バージョン 1.12.0以降へのアップグレード

https://github.com/vernemq/vernemq/releases/tag/1.12.0

発見者

Jonathan Knudsen、Synopsys Cybersecurity Research Centerの研究者。これらの脆弱性は Defensics® fuzz testing toolを使用して発見しました。

Synopsysは、RabbitMQ、VerneMQ、およびEMQ Xチームが速やかに対応し、これらの脆弱性にタイムリーに対処されたことを称賛いたします。

タイムライン

CVE-2021-22116

  • 2021年 3月 9日: 初期の情報提供
  • 2021年 4月 7日: VMWare社は検証のうえ確認し、脆弱性に対するパッチをリリース
  • 2021年 4月 9日: VMWareの提供したパッチをJonathan Knudsenが確認
  • 2021年 5月10日: VMWareはアドバイザリーCVE-2021-22116を公開
  • 2021年 6月 8日: Synopsysによるアドバイザリーの公開

CVE-2021-33175

  • 2021年 3月 9日 初期の情報提供
  • 2021年 3月10日: EMQ X社は検証の上確認し、脆弱性に対するパッチをリリース
  • 2021年 3月11日: EMQ X社の提供したパッチをJonathan Knudsenが確認
  • 2021年 5月10日: CVE IDの作成
  • 2021年 6月 8日: Synopsysによるアドバイザリーの公開

CVE-2021-33176

  • 2021年 3月 9日: 初期の情報提供
  • 2021年 3月10日: VerneMQ社は検証の上脆弱性を確認
  • 2021年 5月10日: CVE ID の作成
  • 2021年 5月20日: VerneMQ社のパッチをJonathan Knudsenが確認
  • 2021年 5月21日: VerneMQ社はバージョン 1.12.0をリリース
  • 2021年 6月 8日: Synopsysによるアドバイザリーの公開
 

この著者によるその他の情報