Bulletin d'alerte Debian

DLA-2710-1 rabbitmq-server -- Mise à jour de sécurité pour LTS

Date du rapport :
26 juillet 2021
Paquets concernés :
rabbitmq-server
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-4965, CVE-2017-4966, CVE-2017-4967, CVE-2019-11281, CVE-2019-11287, CVE-2021-22116.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans rabbitmq-server, un courtier logiciel de messages.

  • CVE-2017-4965

    Plusieurs formulaires dans l’interface graphique de gestion de RabbitMQ sont vulnérables à une attaque de script intersite (XSS).

  • CVE-2017-4966

    L’interface graphique de gestion de RabbitMQ enregistre les accréditations d’utilisateur signées dans un stockage local du navigateur sans délai d’expiration. Cela rend possible leur récupération en utilisant une attaque chaînée.

  • CVE-2017-4967

    Plusieurs formulaires dans l’interface graphique de gestion de RabbitMQ sont vulnérables à une attaque de script intersite (XSS).

  • CVE-2019-11281

    La page de limites d’hôtes virtuels et l’interface graphique de gestion de fédération ne nettoient pas correctement la saisie de l’utilisateur. Un utilisateur distant malveillant ayant un accès administratif pourrait fabriquer une attaque par script intersite pour obtenir un accès aux hôtes virtuels et à l’information de gestion de politique.

  • CVE-2019-11287

    L’en-tête HTTP « X-Reason » peut être exploité pour insérer une chaîne de format Erlang malveillante qui élargit et consomme le tas, aboutissant à un plantage du serveur.

  • CVE-2021-22116

    Un utilisateur malveillant peut exploiter la vulnérabilité en envoyant des messages AMQP malveillants à l’instance cible de RabbitMQ.

Pour Debian 9 « Stretch », ces problèmes ont été corrigés dans la version 3.6.6-1+deb9u1.

Nous vous recommandons de mettre à jour vos paquets rabbitmq-server.

Pour disposer d'un état détaillé sur la sécurité de rabbitmq-server, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/rabbitmq-server.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.