开发者社区 > 云原生 > 云消息队列 > 正文

RocketMQ cve-2024-23321 漏洞

RocketMQ cve-2024-23321 漏洞

展开
收起
嘟嘟嘟嘟嘟嘟 2024-08-28 08:12:41 818 1
2 条回答
写回答
取消 提交回答
  • 在RocketMQ 5.2.0及更低版本中,存在CVE-2024-23321漏洞,该漏洞使得即使系统已启用身份验证与授权机制,未经授权的参与者(特别是具有常规用户权限或位于IP白名单内的攻击者)仍能通过特定接口非法获取管理员账号及密码。一旦攻击者获得这些凭据,他们就能全面控制RocketMQ系统,进而可能引发数据泄露、篡改等严重安全后果。
    解决方案步骤:

    版本升级:
    首先,强烈建议将RocketMQ升级至5.3.0或更高版本。这一步骤是解决此漏洞的根本方法,因为新版本包含了相应的安全修复。

    执行命令: 根据你的部署环境(如Docker、源码编译等),执行相应的升级命令或流程。具体步骤请参考Apache RocketMQ官方文档的升级指南部分。

    应用修复补丁:
    对于暂时无法立即升级的场景,可以考虑应用官方提供的安全补丁。

    补丁链接:

    GitHub Pull Request #7930
    GitHub Pull Request #7486

    应用方法: 查看补丁详情,根据说明手动应用到你的RocketMQ部署中,或等待下一个维护版本集成此修复。

    实施RocketMQ ACL 2.0:
    强化访问控制,采用RocketMQ ACL 2.0进一步提升系统的安全性。

    学习资源: RocketMQ ACL 2.0教程
    实施步骤: 阅读教程后,配置相应的ACL规则,确保只有经过严格验证的用户和服务能访问指定资源。
    此回答整理自钉群“群2-Apache RocketMQ 中国开发者钉钉群”

    2024-08-28 10:45:06
    赞同 164 展开评论 打赏
  • 【漏洞通告】Apache RocketMQ信息泄露漏洞(CVE-2024-23321)

    image.png
    参考文档https://cn-sec.com/archives/2990882.html

    2024-08-28 09:13:02
    赞同 164 展开评论 打赏

涵盖 RocketMQ、Kafka、RabbitMQ、MQTT、轻量消息队列(原MNS) 的消息队列产品体系,全系产品 Serverless 化。RocketMQ 一站式学习:https://rocketmq.io/

相关产品

  • 云消息队列 MQ
  • 相关电子书

    更多
    RocketMQ Client-GO 介绍 立即下载
    RocketMQ Prometheus Exporter 打造定制化 DevOps 平台 立即下载
    基于 RocketMQ Prometheus Exporter 打造定制化 DevOps 平台 立即下载