2024年7月22日，Apache發(fā)布安全公告，Apache RocketMQ中的一個(gè)信息泄露漏洞（CVE-2024-23321）。此漏洞針對(duì)Apache RocketMQ4.5.2 - 5.3.0版本中，在某些情況下即使RocketMQ啟用了身份驗(yàn)證和授權(quán)功能，擁有普通用戶(hù)權(quán)限或列入IP白名單的攻擊者可能通過(guò)特定接口獲取管理員的帳戶(hù)和密碼，導(dǎo)致敏感信息泄露并可能獲得對(duì)RocketMQ的控制權(quán)。



漏洞簡(jiǎn)介

CVE-2024-23321是一個(gè)敏感信息泄露漏洞，它存在于Apache RocketMQ的特定接口中。Apache RocketMQ是一個(gè)廣泛使用的分布式消息中間件，支持多種消息模式和類(lèi)型，因其高吞吐量、低延遲和高可靠性而受到青睞。然而，
該漏洞允許擁有普通用戶(hù)權(quán)限的攻擊者，通過(guò)精心構(gòu)造的請(qǐng)求，繞過(guò)部分安全限制，竊取管理員賬號(hào)和密碼等敏感信息。這種信息的泄露可能進(jìn)一步導(dǎo)致攻擊者獲得對(duì)RocketMQ系統(tǒng)的完全控制權(quán)，進(jìn)而威脅到整個(gè)應(yīng)用環(huán)境的安全。

目前該漏洞已經(jīng)修復(fù)，受影響用戶(hù)可升級(jí)到Apache RocketMQ 5.3.0或更高版本，并在升級(jí)到Apache RocketMQ5.3.0版本時(shí)使用RocketMQ ACL 2.0。


風(fēng)險(xiǎn)等級(jí)：高風(fēng)險(xiǎn)。

影響范圍：

·版本范圍：此漏洞影響Apache RocketMQ的多個(gè)版本，具體為從4.5.2版本到5.3.0版本(包含這兩個(gè)版本)的所有用戶(hù)。

rocketmq@[4.5.2, 5.3.0)

org.apache.rocketmq:rocketmq-acl@[4.5.2, 5.3.0)

org.apache.rocketmq:rocketmq-all@[4.5.2, 5.3.0)

·應(yīng)用場(chǎng)景：由于ApacheRocketMQ的廣泛應(yīng)用，此漏洞可能影響到包括互聯(lián)網(wǎng)、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等多個(gè)領(lǐng)域的企業(yè)和組織。任何使用受影響版本RocketMQ進(jìn)行實(shí)時(shí)數(shù)據(jù)處理或消息傳遞的系統(tǒng)都可能面臨安全風(fēng)險(xiǎn)。


·潛在后果：敏感信息的泄露可能導(dǎo)致系統(tǒng)被非法控制、數(shù)據(jù)被篡改或竊取，進(jìn)而造成業(yè)務(wù)中斷、數(shù)據(jù)泄露等嚴(yán)重后果。

修復(fù)建議：

1、建議用戶(hù)升級(jí)到5.3.0或更高版本。下載地址：https://github.com/apache/rocketmq//releases。

2、加強(qiáng)訪問(wèn)控制:在升級(jí)之前或升級(jí)過(guò)程中，加強(qiáng)系統(tǒng)的訪問(wèn)控制策略，限制對(duì)敏感接口的訪問(wèn)權(quán)限，減少潛在的安全風(fēng)險(xiǎn)。

3、定期安全審計(jì):定期對(duì)系統(tǒng)進(jìn)行安全審計(jì)，及時(shí)發(fā)現(xiàn)并修復(fù)潛在的安全漏洞，確保系統(tǒng)的長(zhǎng)期安全穩(wěn)定運(yùn)行。