공지 ID: 2026-034-AWS
범위: AWS
콘텐츠 유형: 중요(주의 필요)
게시일: 2026년 5월 20일 오후 12시 45분(PDT)
 

설명:

rabbitmq-aws는 시작 시 브로커 구성에서 AWS ARN을 확인하여 AWS 서비스(Secrets Manager, S3, ACM Private CA)에서 보안 정보(예: TLS 인증서, 프라이빗 키, 암호)를 가져온 후 RabbitMQ에 인 메모리로 전달하는 RabbitMQ 플러그인입니다. 플러그인의 ARN 해석기에서 CVE-2026-9133 활성 디버그 코드 문제를 확인했습니다. PUT /api/aws/arn/validate 검증 엔드포인트에서 허용하는 디버그 ARN 체계(arn:aws-debug:file)를 사용하면 인증된 원격 사용자가 RabbitMQ 프로세스에 액세스할 수 있는 모든 파일에서 임의의 파일 읽기를 수행할 수 있습니다. 디버그 코드 비활성화 메커니즘 없이 디버그 코드가 프로덕션 빌드에 실수로 제공되었습니다.

영향을 받는 버전: >=0.1.0, <=0.2.0

해결 방법:

이 문제는 rabbitmq-aws 버전 0.2.1에서 해결되었습니다. 모든 포크 코드 또는 파생 코드가 패치된 최신 버전으로 업그레이드하여 새로운 수정 사항을 반영하세요. 또한 RabbitMQ 프로세스에 읽기 권한이 있는 파일에 저장된 모든 보안 정보를 교체하는 것이 좋습니다.

대안:

rabbitmq-plugins 비활성화 aws를 사용하여 플러그인을 비활성화할 수 있습니다. 그러면 검증 엔드포인트가 제거되어 추가 PUT 요청이 405(메서드가 허용되지 않음)를 반환하고 요청된 ARN을 가져오지 않습니다. 플러그인을 비활성화하면 시작 시 ARN 확인도 제거되므로 브로커는 파일 시스템 기반 인증서 구성으로 폴백해야 합니다.

참고 사항:

• CVE-2026-9133
• GHSA-8554-wg4r-7hxm

보안 관련 질문이나 우려 사항이 있는 경우 aws-security@amazon.com으로 문의하세요.