Apache 官方发布安全通告,披露了其 Apache RocketMQ 存在远程代码执行漏洞,漏洞编号CVE-2023-33246。可导致远程攻击者执行任意代码等危害。
为避免您的业务受影响,万叁建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
Apache RocketMQ 是一个开源的分布式消息中间件系统,由 Apache 软件基金会管理和维护。它是一个高可用、高性能、可伸缩的消息队列系统,支持发布/订阅、点对点、批量消息等多种消息模式。
据官方描述,RocketMQ 的 NameServer、Broker 和 Controller 等组件,由于在对外暴露时缺乏权限校验,导致攻击者可以通过修改配置文件或者通过伪造 RocketMQ 协议内容来远程执行命令,攻击者可以利用这些漏洞来获取系统的权限,进而对系统进行控制。
风险等级
高风险
漏洞风险
攻击者利用该漏洞可远程执行任意代码,从而获取系统权限
影响版本
Apache RocketMQ 5.x <= 5.1.0
Apache RocketMQ 4.x <= 4.9.5
安全版本
Apache RocketMQ 5.x >= 5.1.1
Apache RocketMQ 4.x >= 4.9.6
修复建议
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本
版本更新链接:
```
https://rocketmq.apache.org/download
```
临时缓解措施:
使用安全组、防火墙等措施,对broker、nameserver等服务端口做白名单访问限制,禁止对外开放,并仅允许受信任的源进行访问。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。