开发者社区 > 云原生 > 云消息队列 > 正文

RocketMQ这个漏洞说的泄漏敏感信息指的是acl配置吗?

dc3098b7d2f8cfc9cdddbd4365329cd3.png
RocketMQ这个漏洞说的泄漏敏感信息指的是acl配置吗?看了下7486只是把获取acl配置的api移除掉了,这个pr之后的版本4.9.7、4.9.8都是安全的?这个漏洞是24年7月22日发出来,上面说5.3.0以下的都有问题。
一、漏洞描述:在 Apache RocketMQ 5.2.0 及之前的版本中发现了一个漏洞,对于 RocketMQ 5.2.0 及以下版本,即使RocketMQ 开启了认证授权功能,在特定条件下,也存在敏感信息泄露给未授权攻击者的风险。攻击者拥有普通用户权限或 IP 白名单,可以通过特定接口获取管理员账号和密码,从而获得 RocketMQ 的完全控制权。
二、影响范围
Apache RocketMQ 5.2.0 及之前版本
三、排查范围
所有使用rocketMQ的项目
四、修复建议
升级到 5.3.0 版本并使用 RocketMQ ACL 2.0
具体修复方案由三线专家整理中,稍后全网同步!!!

展开
收起
嘟嘟嘟嘟嘟嘟 2024-08-01 08:59:13 66 0
1 条回答
写回答
取消 提交回答
  • 是的 泄漏的是acl配置,7930进一步加固,在4.9.x没有 最好也带上。如果本身没有开启acl功能,就不涉及这个问题。此回答整理自钉群“群2-Apache RocketMQ 中国开发者钉钉群”

    2024-08-01 09:24:44
    赞同 9 展开评论 打赏

涵盖 RocketMQ、Kafka、RabbitMQ、MQTT、轻量消息队列(原MNS) 的消息队列产品体系,全系产品 Serverless 化。RocketMQ 一站式学习:https://rocketmq.io/

相关产品

  • 云消息队列 MQ
  • 相关电子书

    更多
    RocketMQ Client-GO 介绍 立即下载
    RocketMQ Prometheus Exporter 打造定制化 DevOps 平台 立即下载
    基于 RocketMQ Prometheus Exporter 打造定制化 DevOps 平台 立即下载