北京赛克艾威科技有限公司 2024-07-22
Apache RocketMQ 是一款开源的分布式消息系统。 受影响版本中存在敏感信息泄露漏洞,未经授权的用户可以在启用身份验证和授权功能的情况下获得敏感信息。拥有普通用户权限的攻击者可以通过特定接口窃取管理员账号和密码从而获得RocketMQ权限。 修复版本中,通过增加权限检查和验证,细化访问配置以修复漏洞。强烈建议将 RocketMQ ACL 升级为2.0。
1. 将组件 org.apache.rocketmq:rocketmq-acl 升级至 5.3.0 及以上版本 2. 将组件 org.apache.rocketmq:rocketmq-all 升级至 5.3.0 及以上版本 3. 将组件 rocketmq 升级至 5.3.0 及以上版本
https://www.oscs1024.com/hd/MPS-ch3x-oesa
https://github.com/apache/rocketmq/issues/7560
https://github.com/apache/rocketmq/pull/7725
https://github.com/apache/rocketmq/commit/e1339ac8a07126c1eead06b57dfc7a0402f4df5b