我中心技术支撑单位“绿盟科技”近日监测到 Apache RocketMQ 存在远程代码执行漏洞(CVE-2023-33246),由于 RocketMQ 的多个组件暴露在外网且缺乏权限验证,导致攻击者可利用该漏洞运行 RocketMQ 的系统用户身份执行命令或通过伪造 RocketMQ 协议内容,最终获取服务器控制权。ApacheRocketMQ 是一款高性能的分布式消息中间件,广泛应用于国内互联网电商、金融、物流、游戏等领域,应用场景包括:在线支付收银台、订单管理、消息通知、流量削峰等。目前,此次漏洞已出现利用方法,漏洞利用难度低,影响范围大,当前正值 618 电商活动日,建议各大电商、物流、金融企业尽快开展自查防范,堵塞漏洞,以防遭受黑客攻击。

Apache RocketMQ 是一款高性能、高可靠的分布式消息中间件,其主要功能包括消息发布订阅、点对点消息传递、消息批量处理、消息过滤和延迟处理等,支持水平扩展、数据持久化、消息顺序保证、多协议支持等特性。RocketMQ包含生产者、消费者和Broker三个主要组件,支持水平扩展、数据持久化、消息顺序保证、多协议支持等特性。该软件最初源自于阿里巴巴,现成为Apache软件基金会一个独立的、由全球开发者共同维护的顶级开源项目。

   漏洞详情   

由于RocketMQ的NameServer、Broker、Controller等多个组件暴露在外网且缺乏权限验证,攻击者可以利用该漏洞透过更新配置功能以RocketMQ运行的系统用户身份执行命令。此外,攻击者可以通过伪造 RocketMQ 协议内容来达到同样的效果。

漏洞名称:Apache RocketMQ 远程代码执行漏洞
漏洞编号CVE-2023-33246

危害等级: 

    影响范围   

受影响版本

· Apache RocketMQ <= 5.1.0

· Apache RocketMQ <= 4.9.5

    解决方案   

更新修复

目前,Apache 官方已发布安全修复更新,受影响用户可以升级到Apache RocketMQ 5.1.1或4.9.6下载地址:https://rocketmq.apache.org/download/

参考链接:

[1]https://lists.apache.org/thread/1s8j2c8kogthtpv3060yddk03zq0pxyp-END-

Category
Tags

No responses yet

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注