一、漏洞详情
Apache RocketMQ是一个分布式消息中间件,它支持多种消息模式,如发布/订阅、点对点、广播等,以及多种消息类型,如有序消息、延迟消息、批量消息等。它具有高吞吐量、低延迟、高可靠性、高可扩展性等特点,适用于互联网、大数据、移动互联网、物联网等领域的实时数据处理。
近日,监测到Apache RocketMQ远程代码执行漏洞(CVE-2023-33246),在RocketMQ 5.1.0及以下版本,在一定条件下,存在远程命令执行风险。RocketMQ的NameServer、Broker、Controller等多个组件暴露在外网且缺乏权限验证,攻击者可以利用该漏洞利用更新配置功能以RocketMQ运行的系统用户身份执行命令。此外,攻击者可以通过伪造RocketMQ协议内容来达到同样的效果。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
Apache RocketMQ <= 5.1.0
Apache RocketMQ <= 4.9.5
三、修复建议
目前官方以发布安全修复更新,受影响用户可以升级到Apache RocketMQ 5.1.1或者4.9.6。
https://rocketmq.apache.org/download/