2024年7月22日，Apache發(fā)布安全公告，Apache RocketMQ中的一個信息泄露漏洞（CVE-2024-23321）。此漏洞針對Apache RocketMQ4.5.2 - 5.3.0版本中，在某些情況下即使RocketMQ啟用了身份驗證和授權(quán)功能，擁有普通用戶權(quán)限或列入IP白名單的攻擊者可能通過特定接口獲取管理員的帳戶和密碼，導(dǎo)致敏感信息泄露并可能獲得對RocketMQ的控制權(quán)。



漏洞簡介

CVE-2024-23321是一個敏感信息泄露漏洞，它存在于Apache RocketMQ的特定接口中。Apache RocketMQ是一個廣泛使用的分布式消息中間件，支持多種消息模式和類型，因其高吞吐量、低延遲和高可靠性而受到青睞。然而，
該漏洞允許擁有普通用戶權(quán)限的攻擊者，通過精心構(gòu)造的請求，繞過部分安全限制，竊取管理員賬號和密碼等敏感信息。這種信息的泄露可能進一步導(dǎo)致攻擊者獲得對RocketMQ系統(tǒng)的完全控制權(quán)，進而威脅到整個應(yīng)用環(huán)境的安全。

目前該漏洞已經(jīng)修復(fù)，受影響用戶可升級到Apache RocketMQ 5.3.0或更高版本，并在升級到Apache RocketMQ5.3.0版本時使用RocketMQ ACL 2.0。


風(fēng)險等級：高風(fēng)險。

影響范圍：

·版本范圍：此漏洞影響Apache RocketMQ的多個版本，具體為從4.5.2版本到5.3.0版本(包含這兩個版本)的所有用戶。

rocketmq@[4.5.2, 5.3.0)

org.apache.rocketmq:rocketmq-acl@[4.5.2, 5.3.0)

org.apache.rocketmq:rocketmq-all@[4.5.2, 5.3.0)

·應(yīng)用場景：由于ApacheRocketMQ的廣泛應(yīng)用，此漏洞可能影響到包括互聯(lián)網(wǎng)、大數(shù)據(jù)、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等多個領(lǐng)域的企業(yè)和組織。任何使用受影響版本RocketMQ進行實時數(shù)據(jù)處理或消息傳遞的系統(tǒng)都可能面臨安全風(fēng)險。


·潛在后果：敏感信息的泄露可能導(dǎo)致系統(tǒng)被非法控制、數(shù)據(jù)被篡改或竊取，進而造成業(yè)務(wù)中斷、數(shù)據(jù)泄露等嚴(yán)重后果。

修復(fù)建議：

1、建議用戶升級到5.3.0或更高版本。下載地址：https://github.com/apache/rocketmq//releases。

2、加強訪問控制:在升級之前或升級過程中，加強系統(tǒng)的訪問控制策略，限制對敏感接口的訪問權(quán)限，減少潛在的安全風(fēng)險。

3、定期安全審計:定期對系統(tǒng)進行安全審計，及時發(fā)現(xiàn)并修復(fù)潛在的安全漏洞，確保系統(tǒng)的長期安全穩(wěn)定運行。