Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

複数のOSSメッセージブローカーにサービス拒否の脆弱性

オープンソースのメッセージブローカー「RabbitMQ」「EMQ X」「VerneMQ」にサービス拒否の脆弱性が含まれていることがわかった。3月から5月にかけてリリースされたアップデートで修正が行われたという。

Synopsysの研究者がそれぞれのソフトウェアにおいて、細工したMQTTメッセージによりメモリを過剰に消費させ、サービス拒否を引き起こすことが可能となる脆弱性を発見、報告したもの。

「RabbitMQ」の脆弱性は「CVE-2021-22116」が割り振られており、「EMQ X」では「CVE-2021-33175」、「VerneMQ」では「CVE-2021-33176」が採番された。「CVE-2021-33175」「CVE-2021-33176」に関しては、共通脆弱性評価システム「CVSSv3.1」においてベーススコアが「8.6」と評価されている。

いずれもクライアントからの入力処理に起因する脆弱性だが、サービス拒否に至るメカニズムは異なり、同じメッセージによって引き起こされるものではないという。

同社より報告を受けた各ソフトウェアの開発チームは、3月から5月にかけて「RabbitMQ 3.8.16」「EMQ X 4.2.8」「VerneMQ 1.12.0」をリリースし、脆弱性を解消した。

(Security NEXT - 2021/06/09 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

Wi-Fi対応警告灯「警子ちゃん」にDI機能搭載モデル
MQTTプロトコル汎用ライブラリの旧版にDoS攻撃受ける脆弱性
Zaif仮想通貨流出、トランザクション解析で発信元推定へ - 2日間のハッカソンで開発した監視システムで
約5万台のMQTTサーバが公開状態 - 国内でも1012台が稼働
クライアントライブラリ「MQTT.js」にサービス拒否へ陥る脆弱性
探索されるMQTT中継サーバ - 不用意な外部公開に注意を