Apache RocketMQ NameServer 未授权访问漏洞
https://stack.chaitin.com/vuldb/detail/b8727e71-9314-4946-9a91-660a8919ce96?spm=a2c6h.13066369.question.3.42818702ZpHpF5

漏洞描述
Apache RocketMQ NameServer 默认配置下存在未授权访问漏洞

漏洞危害
攻击者可以未授权修改配置导致服务不可用等安全问题

修复方法
配置用户名和密码来提供身份验证，以确保只有授权用户才能访问和操作 RocketMQ 的消息队列，下面是配置 RocketMQ 用户名和密码的步骤：
编辑 conf/broker.conf 或 conf/namesrv.conf 配置文件（根据您使用的是 Broker 还是 Namesrv）。
在文件的末尾添加以下行：

enablePropertyKeyCheck=true
brokerPermission=RW
enablePropertyKeyCheck=true 将开启属性键的检查。这意味着只有经过身份验证的用户才能使用带有属性键的生产者或消费者。
brokerPermission=RW 表示对于经过身份验证的用户，他们将拥有读写权限。

在 conf 目录下创建 users.properties 文件，并在其中添加用户信息。例如：

用户名：密码

userA=passwordA
userB=passwordB
您可以添加多个用户及其密码，每个用户和密码之间使用等号分隔。
在 conf 目录下创建 acl.yml 文件，并在其中定义用户权限。例如：

用户名：权限

userA:
topic:
testTopic:

  - PUBLISH
  - SUBSCRIBE

userB:
topic:
testTopic:

  - SUBSCRIBE

在此示例中，userA 具有发布和订阅 testTopic 主题的权限，而 userB 只具有订阅该主题的权限。您可以根据自己的需求定义更多的权限。

重启 RocketMQ Broker 或 Namesrv 以使更改生效。

完成上述步骤后，您现在已经成功地配置了用户名和密码来保护您的 RocketMQ 系统。只有经过身份验证的用户才能使用您的生产者和消费者，并且他们的访问权限将受到您在 acl.yml 文件中定义的限制。