RabbitMQ — это многопротокольный брокер обмена сообщениями и потоковой передачи. В затронутых версиях плагины shovel и federation выполняют…
RabbitMQ — это многопротокольный брокер обмена сообщениями и потоковой передачи. В затронутых версиях плагины shovel и federation выполняют обфускацию URI в состоянии своего рабочего процесса (ссылки). Ключ шифрования, используемый для шифрования URI, был засеян предсказуемым секретом. Это означает, что в случае определенных исключений, связанных с плагинами Shovel и Federation, в журнале узла могут появиться достаточно легко деобфусцируемые данные. Исправленные версии правильно используют секрет для всего кластера для этой цели. Эта проблема была решена, и доступны исправленные версии: `3.10.2`, `3.9.18`, `3.8.32`. Пользователям, которые не могут выполнить обновление, следует отключить плагины Shovel и Federation.
Продукт использует недостаточно случайные числа или значения в контексте безопасности, зависящем от непредсказуемых чисел.
https://cwe.mitre.org/data/definitions/330.html →Открыть в коллекции CWE →Генератор псевдослучайных чисел (PRNG) инициализируется предсказуемым начальным значением (seed), например идентификатором процесса или системным временем.
https://cwe.mitre.org/data/definitions/337.html →Открыть в коллекции CWE →Данная атака направлена на предсказуемые идентификаторы сеанса с целью получения привилегий. Злоумышленник может предсказать идентификатор сеанса, используемый во время транзакции, и применить его для подделки личности и перехвата сеанса.
https://capec.mitre.org/data/definitions/59.html →Открыть в коллекции CAPEC →В данной атаке некий актив (информация, функциональность, удостоверение и т. д.) защищён конечным секретным значением. Злоумышленник пытается получить доступ к активу методом проб и ошибок, перебирая все возможные значения секрета в надежде найти то значение (или функционально эквивалентное ему), которое откроет доступ к активу.
https://capec.mitre.org/data/definitions/112.html →Открыть в коллекции CAPEC →Злоумышленник получает закрытый ключ подписи авторитетного или надёжного подписанта посредством эксплуатации криптографической слабости алгоритма подписи или генератора псевдослучайных чисел, а затем использует этот ключ для подделки подписей от имени исходного подписанта с целью введения жертвы в заблуждение и побуждения к совершению действий в интересах злоумышленника.
https://capec.mitre.org/data/definitions/485.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| broker | Отслеживается | |
| broker | Отслеживается | |
| broker | Отслеживается | |
| broker | Отслеживается | |
| broker | Отслеживается | |
| rabbitmq-server | Отслеживается | |
| rabbitmq-server | Отслеживается | |
| rabbitmq-server | Отслеживается | |
| rabbitmq | * | Отслеживается |
| rabbitmq_server | * | Отслеживается |