漏洞情报 | Apache RocketMQ 远程代码执行漏洞(CVE-2023-37582)

发布于 作者:

漏洞情报 | Apache RocketMQ 远程代码执行漏洞(CVE-2023-37582)

斗象智能安全 2023-07-14 16:16

1.1  漏洞概述

近日,斗象科技
漏洞情报中心监控到Apache RocketMQ发布了安全通告,修复了一个安全漏洞。

Apache RocketMQ 是一个分布式消息中间件,它支持多种消息模式,如发布/订阅、点对点、广播等,以及多种消息类型,如有序消息、延迟消息、批量消息等。它具有高吞吐量、低延迟、高可靠性、高可扩展性等特点,适用于互联网、大数据、移动互联网、物联网等领域的实时数据处理。

1.2  影响范围

Apache RocketMQ 5.x <= 5.1.1

Apache RocketMQ 4.x <= 4.9.6

1.3  漏洞复现

由于NameServer 存在未授权访问,利用NameServer的更新配置功能,可以以RocketMQ运行时的系统用户身份执行命令。

1.4  修复建议

>> 1.4.1  版本升级

厂商已发布了漏洞修复程序,建议用户升级到如下版本:

Apache RocketMQ 5.1.2

Apache RocketMQ 4.9.7

官方下载地址:

https://rocketmq.apache.org/zh/download

1.5  参考链接

https://lists.apache.org/thread/m614czxtpvlztd7mfgcs2xcsg36rdbnc