[TLP:CLEAR] RabbitMQ opravuje 1 zraniteľnosť
RabbitMQ opravuje 1 zraniteľnosť v produktoch RabbitMQ a Tanzu RabbitMQ. Zraniteľnosť je pre RabbitMQ opravená vo verzii 3.12.11 a pre Tanzu RabbitMQ vo verziách 1.5.2, 3.13.0 a 4.0.0 [1].
Autentizovanému vzdialenému útočníkovi je umožnené neoprávnene odstraňovať fronty, čo môže spôsobiť stratu informácií a DoS útok na aplikácie, ktoré sú na tejto službe závislé. Pre zneužitie zraniteľnosti je potrebné, aby mal útočník prístup k HTTP API a aspoň nejaké práva k postihnutému stroju. Ako dočasnú opravu je možné zakázať rozšírenie pre manažment a použiť monitorovacie nástroje ako Prometheus alebo Grafana [1].
Zraniteľnosť sa nachádza v produktoch:
- RabbitMQ vo verziách >3.12.7 AND <3.12.11
- Tanzu RabbitMQ vo verziách (<1.5.2) OR (>=3.0 AND <3.13.0)
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N
Viac informácií:
- CVE-2024-51988 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-284: Improper Access Control at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 6. 11. 2024.
Publikoval Martin Krajči dňa 11. 11. 2024.
