OpenStack - CVE-2026-44393

Date de publication : 08/06/2026

Il s'agit d'une vulnérabilité dans le driver RabbitMQ d'oslo.messaging, au niveau de la gestion de la vérification TLS.

oslo.messaging est une bibliothèque Python du projet OpenStack qui fournit une couche d'abstraction pour la messagerie inter-services, utilisée par Nova, Neutron, Cinder, Glance, Heat, Ironic et d'autres composants OpenStack via le broker RabbitMQ.

Lorsque l'option ssl_ca_file est configurée, le driver valide la chaîne de certificats mais ne transmet pas le hostname du broker à la pile TLS sous-jacente (py-amqp/Kombu). Tout certificat signé par la CA de déploiement est accepté, quelle que soit l'identité du serveur.

Elle permet à un attaquant disposant d'un accès au réseau du plan de contrôle et d'un certificat approuvé par la CA de déploiement d'effectuer une attaque man-in-the-middle sur le trafic RPC et notification de l'ensemble des services OpenStack.

CVE-2026-44393

[Score CVSS v3.1 : 7.4]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Oui

Risques

•   Contournement de la politique de sécurité
•   Atteinte à la confidentialité des données
•   Atteinte à l'intégrité des données

Exploitation

La vulnérabilité exploitée est du type
CWE-297 : Improper Validation of Certificate with Host Mismatch

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Élevée
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

•   oslo.messaging versions 1.0.0 jusqu'à 16.1.x (toutes versions antérieures à 16.2.0)
•   oslo.messaging versions 17.0.0 jusqu'à 17.0.x (toutes versions antérieures à 17.1.1)
•   oslo.messaging versions 17.2.0 jusqu'à 17.2.x (toutes versions antérieures à 17.3.1)

Contournement provisoire

• Sur les branches stables, activer manuellement ssl_enforce_hostname_verification=True dans la section [oslo_messaging_rabbit] de chaque service, après avoir vérifié que les certificats des brokers RabbitMQ disposent d'entrées SAN correspondant aux hostnames configurés dans transport_url.
• Pour les configurations multi-hosts, vérifier au préalable que Kombu >= 5.2.0 est installé.

Solutions ou recommandations

•   oslo.messaging branche 2026.2/Hibiscus (master) : version 18.0.0 et supérieures (vérification activée par défaut)
•   oslo.messaging branche stable/2026.1 (Gazpacho) : correctif disponible via Gerrit 988979, avec ssl_enforce_hostname_verification désactivé par défaut
•   oslo.messaging branche stable/2025.2 (Flamingo) : correctif disponible via Gerrit 988980, avec ssl_enforce_hostname_verification désactivé par défaut
•   oslo.messaging branche stable/2025.1 (Epoxy) : correctif disponible via Gerrit 988981, avec ssl_enforce_hostname_verification désactivé par défaut