Pivotal Software RabbitMQ 资源管理错误漏洞

CVE编号

CVE-2019-11287

利用情况

暂无

补丁情况

官方补丁

披露时间

2019-11-23

漏洞描述

Pivotal Software RabbitMQ是美国Pivotal Software公司的一套实现了高级消息队列协议（AMQP）的开源消息代理软件。 Pivotal Software RabbitMQ中的Web管理插件存在资源管理错误漏洞。攻击者可通过插入恶意的Erlang格式化字符串利用该漏洞造成服务器崩溃。以下产品及版本受到影响：Pivotal Software RabbitMQ 3.7.21之前的3.7.x版本，3.8.1之前的3.8.x版本；RabbitMQ for Pivotal Platform 1.16.7之前的1.16.x版本，1.17.4之前的1.17.x版本。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://pivotal.io/security/cve-2019-11287

参考链接
https://access.redhat.com/errata/RHSA-2020:0078
https://github.com/DrunkenShells/Disclosures/tree/master/CVE-2019-11287-DoS%2...
https://lists.debian.org/debian-lts-announce/2021/07/msg00011.html
https://lists.fedoraproject.org/archives/list/[email protected]...
https://lists.fedoraproject.org/archives/list/[email protected]...
https://pivotal.io/security/cve-2019-11287

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	pivotal_software	rabbitmq	*	From (including) 1.16.0	Up to (excluding) 1.16.7
	运行在以下环境
	应用	pivotal_software	rabbitmq	*	From (including) 1.17.0	Up to (excluding) 1.17.4
	运行在以下环境
	应用	pivotal_software	rabbitmq	*	From (including) 3.7.0	Up to (excluding) 3.7.21
	运行在以下环境
	应用	pivotal_software	rabbitmq	*	From (including) 3.8.0	Up to (excluding) 3.8.1
	运行在以下环境
	应用	redhat	openstack	15.0	-
	运行在以下环境
	系统	debian_10	rabbitmq-server	*		Up to (excluding) 3.7.8-4
	运行在以下环境
	系统	debian_11	rabbitmq-server	*		Up to (excluding) 3.8.9-1
	运行在以下环境
	系统	debian_9	rabbitmq-server	*		Up to (excluding) 3.6.6-1+deb9u1
	运行在以下环境
	系统	debian_sid	rabbitmq-server	*		Up to (excluding) 3.8.9-1
	运行在以下环境
	系统	fedora_30	rabbitmq-server	*		Up to (excluding) 3.7.22-1.fc30
	运行在以下环境
	系统	fedora_31	rabbitmq-server	*		Up to (excluding) 3.7.22-1.fc31
	运行在以下环境
	系统	ubuntu_16.04	rabbitmq-server	*		Up to (excluding) 3.5.7-1ubuntu0.16.04.4+esm1
	运行在以下环境
	系统	ubuntu_18.04	rabbitmq-server	*		Up to (excluding) 3.6.10-1ubuntu0.5
查看完整数据

阿里云评分 3.1

• 攻击路径 远程
• 攻击复杂度 复杂
• 权限要求 无需权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 100

CWE-ID 漏洞类型 CWE-134 使用外部控制的格式字符串