速報 ID: 2026-034-AWS
対象範囲: AWS
コンテンツタイプ: 重要 (要注意)
発行日: 2026 年 5 月 20 日 午後 12 時 45 分 (PDT)
 

説明:

rabbitmq-aws は、ブローカーの設定にある AWS ARN を起動時に解決し、AWS サービス (Secrets Manager、S3、ACM Private CA) からシークレット (TLS 証明書、秘密鍵、パスワードなど) を取得して、それらをインメモリで RabbitMQ に渡す RabbitMQ プラグインです。プラグインの ARN リゾルバーに存在するアクティブなデバッグコードの問題である CVE-2026-9133 を特定しました。PUT /api/aws/arn/validate 検証エンドポイントで受け入れられるデバッグ用 ARN スキーマ (arn:aws-debug:file) が、RabbitMQ プロセスにアクセスが許可されている任意のファイルに対する認証済みリモートユーザーによる任意のファイル読み取り実行を許可する可能性があります。無効化する方法がないままデバッグコードが不注意で本番ビルドに組み込まれました。

影響を受けるバージョン:  >=0.1.0、<=0.2.0

解決方法:

この問題は、rabbitmq-aws バージョン 0.2.1 で解決されています。最新バージョンにアップグレードし、フォークしたコードや派生コードにパッチを適用して新しい修正を反映させることをお勧めします。また、RabbitMQ プロセスが読み取りアクセス権を持つファイルに保存されているすべてのシークレットをローテーションすることもお勧めします。

回避策:

このプラグインは、rabbitmq-plugins disable aws コマンドで無効にできます。これにより、検証エンドポイントが削除されるため、以降の PUT リクエストはすべて 405 (Method Not Allowed) を返し、リクエストされた ARN は取得されなくなります。プラグインを無効にすると、起動時の ARN 解決機能も削除されるので、ブローカーはファイルシステムベースの証明書設定に切り替える必要があります。

参考情報:

• CVE-2026-9133
• GHSA-8554-wg4r-7hxm

セキュリティに関する質問や懸念については、aws-security@amazon.com まで E メールでお問い合わせください。