1623浏覽量

[漏洞公告] Apache RocketMQ 目錄遍曆與拒絕服務漏洞

來源:阿裏雲 時間:2020-03-11

漏洞描述

Apache RocketMQ是一(yī)個分(fēn)布式消息和流數據平台。在默認情況下(xià),RocketMQ沒有配置認證且開(kāi)啓了autoCreateTopicEnable,導緻惡意客戶端可以利用目錄遍曆漏洞,使服務端Broker在任意指定的目錄下(xià)創建5.72M大(dà)小(xiǎo)的文件夾。經進一(yī)步研究後發現,通過構造惡意的topic name可以直接導緻服務端Broker拒絕服務。阿裏雲應急響應中(zhōng)心提醒 Apache RocketMQ用戶盡快采取安全措施阻止漏洞攻擊。


影響版本

Apache RocketMQ < 4.6.1


安全版本

Apache RocketMQ >= 4.6.1


安全建議

1. 升級至安全版本

2. 禁止自動創建topic,修改Broker配置文件broker.properties,設置autoCreateTopicEnable爲false.


相關鏈接

https://github.com/apache/rocketmq/issues/1637

聯系我(wǒ)們

一(yī)次需求提交或許正是成就一(yī)個出色産品的開(kāi)始。
歡迎填寫表格或發送合作郵件至: qczsky@126.com

大(dà)理青橙科技

電(diàn)話(huà):13988578755 13988578755

郵箱:qczsky@126.com

地址:大(dà)理市下(xià)關龍都春天10層