ID bollettino: 2026-034-AWS
Ambito: AWS
Tipo di contenuto: importante (richiede attenzione)
Data di pubblicazione: 20/05/2026 12:45 PDT
 

Descrizione:

rabbitmq-aws è un plug-in di RabbitMQ che risolve gli ARN AWS nella configurazione del broker all’avvio, recuperando i segreti (ad esempio certificati TLS, chiavi private, password) dai servizi AWS (Secrets Manager, S3, ACM CA privata) e passandoli in memoria a RabbitMQ. Abbiamo identificato CVE-2026-9133, un problema di codice di debug attivo nel risolutore dell’ARN del plugin. Uno schema ARN di debug (arn:aws-debug:file) accettato dall’endpoint di validazione PUT /api/aws/arn/validate potrebbe consentire agli utenti remoti autenticati di eseguire letture arbitrarie di file su qualsiasi file accessibile al processo RabbitMQ. Il codice di debug è stato inavvertitamente fornito nelle build di produzione senza alcun meccanismo per disabilitarlo.

Versioni interessate: versione 0.1.0 e successive, versione 0.2.0 e precedenti

Risoluzione:

il problema è stato risolto nella versione 0.2.1 di rabbitmq-aws. Per incorporare le nuove correzioni, consigliamo di eseguire l’aggiornamento alla versione più recente e di assicurarsi che siano state applicate le patch a qualsiasi codice derivato o di cui è stato eseguito il fork. Consigliamo inoltre di ruotare tutti i segreti memorizzati nei file a cui il processo RabbitMQ aveva accesso in lettura.

Soluzioni alternative:

il plugin può essere disabilitato con rabbitmq-plugins disable aws. Ciò rimuove l’endpoint di convalida in modo che eventuali ulteriori richieste PUT restituiscano 405 (Method Not Allowed) e gli ARN richiesti non vengano recuperati. Tieni presente che la disabilitazione del plug-in rimuove anche la risoluzione ARN all’avvio, il che significa che il broker dovrà ricorrere alla configurazione dei certificati basata sul filesystem.

Riferimenti:

• CVE-2026-9133
• GHSA-8554-wg4r-7hxm

Per eventuali domande o dubbi sulla sicurezza, invia un’e-mail all’indirizzo aws-security@amazon.com.