Updates verfügbar: Schwachstellen in Message-Brokern RabbitMQ, EMQ X und VerneMQ

Die Message-Broker sind für Denial-of-Service-Angriffe über das IoT-Protokoll MQTT anfällig. Aktuelle Patches sind verfügbar, Sie sollten sie schnell anwenden.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen

(Bild: Alfa Photo/Shutterstock.com)

Von
  • Rainald Menge-Sonnentag

Das Cybersecurity Research Center (CyRC) von Synopsys hat Schwachstellen in drei Message-Brokern entdeckt, die sich für einen Denial-of-Service-Angriff ausnutzen lassen. Betroffen sind die Open-Source-Anwendungen RabbitMQ, EMQ X und VerneMQ. Die von den Schwachstellen ausgehende Gefahr wird als "hoch" bewertet. Für alle drei Broker existieren Patch-Releases, die das Problem beheben.

Message Broker verarbeiten Nachrichten und leiten sie vom Absender an den oder die Empfänger weiter. Neben Brokern, die auf ein spezifisches Protokoll zugeschnitten sind wie VerneMQ für MQTT (Message Queuing Telemetry Transport), existieren allgemeine Message Broker, die die vom Sender eingehenden Messages für den Empfänger in ein anderes Format übertragen. Die Schwachstelle aller drei Broker hängt mit dem vor allem im IoT-Umfeld (Internet of Things) verbreiteten MQTT-Protokoll zusammen.

Bewusst fehlerhafte MQTT-Nachrichten führen wohl bei allen drei Message-Brokern zu einem enormen Anstieg des Speicherbedarfs, wodurch letztlich das Betriebssystem die Anwendungen schließen kann. Laut dem CyRC sind zwar alle drei anfällig für fehlerhafte Client-Eingaben, aber der tatsächliche Fehler, der zum erhöhten Speicherbedarf führt, unterscheidet sich bei den einzelnen Brokern.

Konkret betrifft die Schwachstelle Rabbit MQ in den Versionen 3.8.x vor dem aktuellen 3.8.16, und der zugehörige CVE-Eintrag (Common Vulnerabilities and Exposures) ist CVE-2021-22116. EMQ X ist mit allen Version vor 4.2.8 (CVE-2021-33175) und VerneMQ mit den Releases vor 1.12.0 betroffen (CVE-2021-33176).

Das CyRC hat die Schwachstellen bereits Anfang März entdeckt und die jeweils verantwortlichen Teams informiert. Alle drei Teams haben wohl die Schwachstelle umgehend bestätigt und zügig behoben. Anschließend hat das CyRC die gepatchten Versionen geprüft, bevor es nun die Schwachstellen veröffentlicht hat.

Wer einen der Broker nutzt, sollte ihn auf die jeweils aktuelle Version aktualisieren. Die gegen die Schwachstelle gepatchten Releases sind Rabbit MQ 3.8.16, EMQ X 4.2.8 und VerneMQ 1.12.0. Weitere Details lassen sich dem Synopsys-Blog entnehmen.

(rme)