RocketMQ4.9的版本,有解决这个漏洞的方案不?
一、漏洞描述:在 Apache RocketMQ 5.2.0 及之前的版本中发现了一个漏洞,对于 RocketMQ 5.2.0 及以下版本,即使RocketMQ 开启了认证授权功能,在特定条件下,也存在敏感信息泄露给未授权攻击者的风险。攻击者拥有普通用户权限或 IP 白名单,可以通过特定接口获取管理员账号和密码,从而获得 RocketMQ 的完全控制权。
二、影响范围
Apache RocketMQ 5.2.0 及之前版本
三、排查范围
所有使用rocketMQ的项目
四、修复建议
升级到 5.3.0 版本并使用 RocketMQ ACL 2.0
具体修复方案由三线专家整理中,稍后全网同步!!!
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
涵盖 RocketMQ、Kafka、RabbitMQ、MQTT、轻量消息队列(原MNS) 的消息队列产品体系,全系产品 Serverless 化。RocketMQ 一站式学习:https://rocketmq.io/