Debian DLA-2710-1：rabbitmq-server - LTS 安全更新

high Nessus 插件 ID 152075

语言：

简介

远程 Debian 主机上缺少一个或多个与安全性相关的更新。

描述

远程 Debian 9 主机上安装的一个程序包受到 dla-2710 公告中提及的多个漏洞影响。

- 在这些 Pivotal RabbitMQ 版本中发现一个问题：所有 3.4.x 版本、所有 3.5.x 版本以及 3.6.9 之前的 3.6.x 版本；以及这些 RabbitMQ for PCF 版本：所有 1.5.x 版本、1.6.18 之前的 1.6.x 版本和 1.7.15 之前的 1.7.x 版本。RabbitMQ 管理 UI 中的多个表单容易遭受 XSS 攻击。（CVE-2017-4965、CVE-2017-4967）

- 在这些 Pivotal RabbitMQ 版本中发现一个问题：所有 3.4.x 版本、所有 3.5.x 版本以及 3.6.9 之前的 3.6.x 版本；以及这些 RabbitMQ for PCF 版本：所有 1.5.x 版本、1.6.18 之前的 1.6.x 版本和 1.7.15 之前的 1.7.x 版本。RabbitMQ 管理 UI 将已登录的用户凭据存储在浏览器的本地存储中，并且不会过期，从而可以使用链式攻击对其进行检索。(CVE-2017-4966)

- v3.7.18 之前的 Pivotal RabbitMQ 版本和 1.15.13 之前的 RabbitMQ for PCF 1.15.x 版本、1.16.6 之前的版本 1.16.x 和 1.17.3 之前的版本 1.17.x 均包含两个组件，即虚拟主机限制页面和联合管理 UI，这两个组件未正确审查用户输入。拥有管理访问权限且经过身份验证的远程恶意用户可构建跨站脚本攻击，进而获取虚拟主机和策略管理信息的访问权限。(CVE-2019-11281)

- 3.7.21 之前的 Pivotal RabbitMQ 3.7.x 版本和 3.8.1 之前的 3.8.x，以及 1.16.7 之前的 RabbitMQ for Pivotal Platform 1.16.x 版本和 1.17.4 之前的 1.17.x 所包含的 web 管理插件容易受拒绝服务攻击。攻击者可利用 X-Reason HTTP 标头插入恶意 Erlang 格式字符串，造成扩展和消耗堆，进而导致服务器崩溃。(CVE-2019-11287)

- RabbitMQ 3.8.16 之前的所有版本容易出现拒绝服务漏洞，这是未正确验证 AMQP 1.0 客户端连接端点中的输入所致。恶意用户可通过向启用了 AMQP 1.0 插件的目标 RabbitMQ 实例发送恶意 AMQP 消息来利用此漏洞。
(CVE-2021-22116)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。