漏洞描述

Apache RocketMQ是一(yī)個分(fēn)布式消息和流數據平台。在默認情況下(xià)，RocketMQ沒有配置認證且開(kāi)啓了autoCreateTopicEnable，導緻惡意客戶端可以利用目錄遍曆漏洞，使服務端Broker在任意指定的目錄下(xià)創建5.72M大(dà)小(xiǎo)的文件夾。經進一(yī)步研究後發現，通過構造惡意的topic name可以直接導緻服務端Broker拒絕服務。阿裏雲應急響應中(zhōng)心提醒 Apache RocketMQ用戶盡快采取安全措施阻止漏洞攻擊。

影響版本

Apache RocketMQ < 4.6.1

安全版本

Apache RocketMQ >= 4.6.1

安全建議

1. 升級至安全版本

2. 禁止自動創建topic，修改Broker配置文件broker.properties，設置autoCreateTopicEnable爲false.

相關鏈接

https://github.com/apache/rocketmq/issues/1637