2024年7月22日,网上公开披露了一个Apache RocketMQ信息泄露漏洞(CVE-2024-23321),Apache RocketMQ 是一款开源的分布式消息系统,请各位用户尽快安装漏洞补丁。
漏洞风险:受影响版本中存在敏感信息泄露漏洞,未经授权的用户可以在启用身份验证和授权功能的情况下获得敏感信息。拥有普通用户权限的攻击者可以通过特定接口窃取管理员账号和密码从而获得RocketMQ权限。修复版本中,通过增加权限检查和验证,细化访问配置以修复漏洞。强烈建议将 RocketMQ ACL 升级为2.0。
风险等级:高风险。
影响范围:
rocketmq@[4.5.2, 5.3.0)
org.apache.rocketmq:rocketmq-acl@[4.5.2, 5.3.0)
org.apache.rocketmq:rocketmq-all@[4.5.2, 5.3.0)
修复建议:
建议用户升级到5.3.0或更高版本。
进行安全更新方法:
https://github.com/apache/rocketmq
