RabbitMQおよびErlangのバージョンアップ可否およびKompiraへの影響について
現在RHEL8においてKompira Enterprise 1.6.8 post1を使用させていただいております。
先日、Erlangに起因するCVE-2025-32433というCVSSスコア10.0の脆弱性情報が公開され、こちらへの対応を急ぎ検討しております。
Kompira環境においてはRabbitMQによりErlangが依存パッケージとしてインストールされている認識で、手元の環境では以下の通りとなっており脆弱性にヒットしておりました。
# dnf list installed *erlang*
インストール済みパッケージ
erlang.x86_64 26.0.2-1.el8 @rabbitmq_erlang
# dnf list installed *rabbitmq*
インストール済みパッケージ
rabbitmq-server.noarch 3.12.1-1.el8 @rabbitmq_rabbitmq-server
CVE-2025-32433への対策バージョンのErlangがリリースされているものの、このバージョンのErlangは現環境でインストールされているRabbitMQではサポートされておらず、RabbitMQ側も例えばバージョン3.13.7等へのバージョンアップが必要になるかと思っています。
https://github.com/rabbitmq/erlang-rpm/releases/tag/v26.2.5.11
https://www.rabbitmq.com/docs/which-erlang#:~:text=3.13.7,3.13.0
■ご質問
・本脆弱性に対するナレッジ(Kompiraとして影響有無など分かっていること)がもしあればご教示いただけますでしょうか?
・今回の脆弱性に限らずKompira EnterpriseとしてRabbitMQおよびErlangのセキュリティ対応の指針はございますでしょうか?(サポート範囲でパッケージ更新できるのか、自己責任となってしまうのかなど)
以上となります。
どうぞよろしくお願いいたします。
-
正式なコメント
フィックスポイントの高橋です。
CVE-2025-32433 は Erlang の SSH サーバ機能を用いている場合の脆弱性であるようです。
rabbitmq-server のコミュニティにおいても同様の質問があり、「RabbitMQ does not use SSH in any way.」との回答があることから、当該脆弱性の影響を受けることは無いと思います。
https://github.com/rabbitmq/rabbitmq-server/discussions/13776
手元の Rocky Linux 8.8 環境で rabbitmqctl コマンドで動作中の erlang アプリケーションの一覧を確認してみましたが、SSH は含まれていませんでした。
$ sudo rabbitmqctl eval 'application:which_applications().'
[{rabbitmq_auth_mechanism_ssl,"RabbitMQ SSL authentication (SASL EXTERNAL)",
"3.12.14"},
{rabbit,"RabbitMQ","3.12.14"},
{mnesia,"MNESIA CXC 138 12","4.23"},
{amqp10_common,"Modules shared by rabbitmq-amqp1.0 and rabbitmq-amqp1.0-client",
"3.12.14"},
{osiris,"Foundation of the log-based streaming subsystem for RabbitMQ",
"1.7.2"},
{observer_cli,"Visualize Erlang Nodes On The Command Line","1.7.3"},
{redbug,"Erlang Tracing Debugger","2.0.7"},
{runtime_tools,"RUNTIME_TOOLS","2.0.1"},
{stdout_formatter,"Tools to format paragraphs, lists and tables as plain text",
"0.2.4"},
{sysmon_handler,"Rate-limiting system_monitor event handler","1.3.0"},
{ra,"Raft library","2.6.3"},
{seshat,"Counters registry","0.6.1"},
{gen_batch_server,"Generic batching server","0.8.8"},
{aten,"Erlang node failure detector","0.5.8"},
{ranch,"Socket acceptor pool for TCP protocols.","2.1.0"},
{inets,"INETS CXC 138 49","9.1"},
{os_mon,"CPO CXC 138 46","2.9.1"},
{rabbitmq_prelaunch,"RabbitMQ prelaunch setup","3.12.14"},
{systemd,"systemd integration for Erlang applications","0.6.1"},
{enough,"A gen_server implementation with additional, overload-protected call type",
"0.1.0"},
{cuttlefish,"cuttlefish configuration abstraction","3.1.0"},
{rabbit_common,"Modules shared by rabbitmq-server and rabbitmq-erlang-client",
"3.12.14"},
{credentials_obfuscation,"Helper library that obfuscates sensitive values in process state",
"3.4.0"},
{recon,"Diagnostic tools for production use","2.5.3"},
{thoas,"A blazing fast JSON parser and generator in pure Erlang.","1.0.0"},
{xmerl,"XML parser","1.3.34"},
{tools,"DEVTOOLS CXC 138 16","3.6"},
{syntax_tools,"Syntax tools","3.1"},
{ssl,"Erlang/OTP SSL application","11.1"},
{public_key,"Public key infrastructure","1.15"},
{asn1,"The Erlang ASN1 compiler version 5.2.1","5.2.1"},
{crypto,"CRYPTO","5.4"},
{compiler,"ERTS CXC 138 10","8.4.1"},
{sasl,"SASL CXC 138 11","4.2.1"},
{stdlib,"ERTS CXC 138 10","5.2"},
{kernel,"ERTS CXC 138 10","9.2"}]※ SSHサーバが動作している場合は {ssh,"Erlang/OTP SSH","x.xx"} のような項目が含まれるようです。
・今回の脆弱性に限らずKompira EnterpriseとしてRabbitMQおよびErlangのセキュリティ対応の指針はございますでしょうか?(サポート範囲でパッケージ更新できるのか、自己責任となってしまうのかなど)
Kompira システム構築はそれぞれのお客様環境で行われており、弊社側で各ミドルウェアがどのバージョンが利用されているかなどは追跡できないため、基本的には各お客様自身のセキュリティ方針に従って管理運用していただくことになります。Kompira のアップデートではない、パッケージの個別の更新についてはお客様ご自身の判断と責任において行っていただくことになるかと思います。
なお、現時点では、Kompira のシステム構成(とくに冗長構成)においては rabbitmq-server のバージョンが 3.13 以上であると正常に動作しない場合があることが分かっており、Kompira のインストーラでは rabbitmq-server については 3.12.x までのアップデートに留めるようになっております。
以上、参考になさってください。
コメントアクション
サインインしてコメントを残してください。
コメント
2件のコメント