海森堡‘s blog

中间件 · 2023年8月31日 0

RocketMQ

一、漏洞描述
Apache RocketMQ 是一款开源的分布式消息系统,基于高可用分布式集群技术,提供低延时的、高可靠的消息发布与订阅服务。

由于CVE-2023-33246的补丁修复不完善,导致在Apache RocketMQ NameServer存在未授权访问的情况下,攻击者能够以Apache RocketMQ运行的系统用户身份执行命令,对应漏洞编号为CVE-2023-37582。

二、漏洞等级
     高
三、影响范围
       5.0.0 <= Apache RocketMQ <= 5.1.1
       4.0.0 <= Apache RocketMQ <= 4.9.6
四、安全版本
       Apache RocketMQ 5.1.2
       Apache RocketMQ 4.9.7

 

五、修复建议

       将Apache RocketMQ升级到4.9.7版本或5.1.2版本及以上

六、参考链接
 https://www.openwall.com/lists/oss-security/2023/07/12/1

https://nvd.nist.gov/vuln/detail/CVE-2023-37582

https://github.com/apache/rocketmq/pull/6843

yehong

IT运维人

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注