RocketMQ cve-2024-23321 漏洞

在RocketMQ 5.2.0及更低版本中，存在CVE-2024-23321漏洞，该漏洞使得即使系统已启用身份验证与授权机制，未经授权的参与者（特别是具有常规用户权限或位于IP白名单内的攻击者）仍能通过特定接口非法获取管理员账号及密码。一旦攻击者获得这些凭据，他们就能全面控制RocketMQ系统，进而可能引发数据泄露、篡改等严重安全后果。
解决方案步骤：

版本升级：
首先，强烈建议将RocketMQ升级至5.3.0或更高版本。这一步骤是解决此漏洞的根本方法，因为新版本包含了相应的安全修复。

执行命令： 根据你的部署环境（如Docker、源码编译等），执行相应的升级命令或流程。具体步骤请参考Apache RocketMQ官方文档的升级指南部分。

应用修复补丁：
对于暂时无法立即升级的场景，可以考虑应用官方提供的安全补丁。

补丁链接：

GitHub Pull Request #7930
GitHub Pull Request #7486

应用方法： 查看补丁详情，根据说明手动应用到你的RocketMQ部署中，或等待下一个维护版本集成此修复。

实施RocketMQ ACL 2.0：
强化访问控制，采用RocketMQ ACL 2.0进一步提升系统的安全性。

学习资源： RocketMQ ACL 2.0教程
实施步骤： 阅读教程后，配置相应的ACL规则，确保只有经过严格验证的用户和服务能访问指定资源。
此回答整理自钉群“群2-Apache RocketMQ 中国开发者钉钉群”

【漏洞通告】Apache RocketMQ信息泄露漏洞（CVE-2024-23321）

参考文档https://cn-sec.com/archives/2990882.html