Apache RocketMQ 遠程代碼執(zhí)行漏洞預警(CVE-2023-37582)

2023-07-14

一、概要

近日，華為云關注到Apache RocketMQ 官方發(fā)布安全公告，披露在Apache RocketMQ特定版本中存在一處遠程代碼執(zhí)行漏洞（CVE-2023-37582）。由于CVE-2023-33246漏洞未完全修復，當NameServer組件在外網(wǎng)暴露且缺乏權限驗證時，攻擊者可以利用該漏洞更新NameServer組件的配置，以RocketMQ運行的系統(tǒng)用戶身份執(zhí)行命令。目前漏洞利用細節(jié)已公開，風險高。

Apache RocketMQ是一個開源的分布式消息中間件系統(tǒng)，適用于大規(guī)模分布式系統(tǒng)中的消息通信和數(shù)據(jù)同步。華為云提醒使用Apache RocketMQ的用戶盡快安排自檢并做好安全加固。

參考鏈接：

https://www.cve.org/CVERecord?id=CVE-2023-37582

https://lists.apache.org/thread/m614czxtpvlztd7mfgcs2xcsg36rdbnc

二、威脅級別

威脅級別：【嚴重】

（說明：威脅級別共四級：一般、重要、嚴重、緊急） 

三、漏洞影響范圍

影響版本：

Apache RocketMQ < 4.9.7

Apache RocketMQ < 5.1.2

安全版本：

Apache RocketMQ 5.x >= 5.1.2

Apache RocketMQ 4.x >= 4.9.7

四、漏洞處置

目前，官方已發(fā)布新版本修復了該漏洞，請受影響的用戶升級到安全版本：

https://rocketmq.apache.org/download/

注：修復漏洞前請將資料備份，并進行充分測試。