Bulletin-ID: 2026-034-AWS
Geltungsbereich: AWS
Inhaltstyp: Wichtig (erfordert Aufmerksamkeit)
Datum der Veröffentlichung: 20.05.2026, 12.45 Uhr PDT
 

Beschreibung:

rabbitmq-aws ist ein RabbitMQ-Plugin, das AWS-ARNs in der Broker-Konfiguration beim Start auflöst, Secrets (z. B. TLS-Zertifikate, private Schlüssel, Passwörter) von AWS-Services (Secrets Manager, S3, ACM Private CA) abruft und sie im Speicher an RabbitMQ weiterleitet. Wir haben CVE-2026-9133 identifiziert, ein aktives Debug-Code-Problem im ARN-Resolver des Plugins. Ein Debug-ARN-Schema (arn:aws-debug:file), das vom Validierungsendpunkt PUT /api/aws/arn/validate akzeptiert wird, könnte es entfernten authentifizierten Benutzern ermöglichen, beliebige Dateien zu lesen, auf die der RabbitMQ-Prozess Zugriff hat. Der Debug-Code wurde versehentlich in Produktionsversionen ausgeliefert, ohne dass es eine Möglichkeit gab, ihn zu deaktivieren.

Betroffene Versionen: >=0.1.0, <=0.2.0

Lösung:

Dieses Problem wurde in Version 0.2.1 von rabbitmq-aws behoben. Wir empfehlen, ein Upgrade auf die neueste Version vorzunehmen und dafür zu sorgen, dass jeder geforkte oder derivative Code gepatcht wird, damit die neuen Fehlerbehebung integriert sind. Wir empfehlen außerdem, alle Secrets, die in Dateien gespeichert sind, auf die der RabbitMQ-Prozess Lesezugriff hatte, zu rotieren.

Problemumgehungen:

Das Plugin kann mit rabbitmq-plugins disable aws deaktiviert werden. Dadurch wird der Validierungsendpunkt entfernt, sodass alle weiteren PUT-Anfragen 405 (Method Not Allowed) zurückgeben und die angeforderten ARNs nicht abgerufen werden. Beachten Sie, dass durch das Deaktivieren des Plugins auch die ARN-Auflösung beim Start entfernt wird, was bedeutet, dass der Broker auf die Dateisystem-basierte Zertifikatskonfiguration zurückgreifen muss.

Referenzen:

• CVE-2026-9133
• GHSA-8554-wg4r-7hxm

Bei Fragen oder Bedenken zum Thema Sicherheit senden Sie bitte eine E-Mail an aws-security@amazon.com.