大佬 有关注Apache RocketMQ这个吗 可有办法解决吗 ?RocketMQ远程代码注入漏洞

大佬 有关注Apache RocketMQ这个吗 可有办法解决吗 ?RocketMQ远程代码注入漏洞

漏洞介绍 RocketMQ的NameServer、Broker、Controller等多个组件缺乏权限验证,攻击者可以利用该漏洞利用更新配置功能以RocketMQ运行的系统用户身份执行命令。

影响版本 5.x≤RocketMQ≤5.1.0 4.x≤RocketMQ≤4.9.5

展开
收起
真的很搞笑 2023-06-11 22:57:19 162 分享 版权
1 条回答
写回答
取消 提交回答
  • 升级版本,另外ip不暴露,启动进程不是超级用户,或者可以开启的ACL的组件开启ACL,影响还好,此回答整理自钉群“群2-Apache RocketMQ 中国开发者钉钉群”

    2023-06-11 23:04:09
    赞同 展开评论

涵盖 RocketMQ、Kafka、RabbitMQ、MQTT、轻量消息队列(原MNS) 的消息队列产品体系,全系列产品 Serverless 化。RocketMQ 中文社区:https://rocketmq-learning.com/

收录在圈子:
+ 订阅
阿里云 云原生应用平台 肩负阿里巴巴集团基础设施云化以及核心技术互联网化的重要职责,致力于打造稳定、标准、先进的云原生产品,成为云原生时代的引领者,推动行业全面想云原生的技术升级,成为阿里云新增长引擎。商业化产品包括容器、云原生中间件、函数计算等。

热门讨论

热门文章

还有其他疑问?
咨询AI助理