开发者社区 > 云原生 > 云消息队列 > 正文

大佬 有关注Apache RocketMQ这个吗 可有办法解决吗 ?RocketMQ远程代码注入漏洞

大佬 有关注Apache RocketMQ这个吗 可有办法解决吗 ?RocketMQ远程代码注入漏洞

漏洞介绍 RocketMQ的NameServer、Broker、Controller等多个组件缺乏权限验证,攻击者可以利用该漏洞利用更新配置功能以RocketMQ运行的系统用户身份执行命令。

影响版本 5.x≤RocketMQ≤5.1.0 4.x≤RocketMQ≤4.9.5

展开
收起
真的很搞笑 2023-06-11 22:57:19 123 0
1 条回答
写回答
取消 提交回答
  • 升级版本,另外ip不暴露,启动进程不是超级用户,或者可以开启的ACL的组件开启ACL,影响还好,此回答整理自钉群“群2-Apache RocketMQ 中国开发者钉钉群”

    2023-06-11 23:04:09
    赞同 展开评论 打赏

涵盖 RocketMQ、Kafka、RabbitMQ、MQTT、轻量消息队列(原MNS) 的消息队列产品体系,全系产品 Serverless 化。RocketMQ 一站式学习:https://rocketmq.io/

相关产品

  • 云消息队列 MQ
  • 相关电子书

    更多
    RocketMQ Client-GO 介绍 立即下载
    RocketMQ Prometheus Exporter 打造定制化 DevOps 平台 立即下载
    基于 RocketMQ Prometheus Exporter 打造定制化 DevOps 平台 立即下载

    相关镜像