Odaily Planet Daily News Theo SlowMist News, Apache RocketMQ đã đưa ra một cảnh báo bảo mật nghiêm trọng vào ngày 12 tháng 7, tiết lộ lỗ hổng thực thi lệnh từ xa (CVE-2023-37582). các trường hợp.
Apache RocketMQ là một nền tảng xử lý luồng và tin nhắn phân tán nguồn mở cung cấp khả năng xử lý dữ liệu luồng và tin nhắn có độ trễ thấp có thể mở rộng, đồng thời được sử dụng rộng rãi trong các tình huống như giao tiếp không đồng bộ, tách ứng dụng và tích hợp hệ thống. Có một số lượng lớn các nền tảng trong ngành công nghiệp tiền điện tử sử dụng sản phẩm này để xử lý các dịch vụ nhắn tin, vui lòng lưu ý các rủi ro. Mô tả lỗ hổng: Khi thành phần NameServer của RocketMQ bị lộ trên mạng bên ngoài và không có cơ chế xác thực hiệu quả, kẻ tấn công có thể sử dụng chức năng cấu hình cập nhật để thực thi các lệnh với tư cách là người dùng hệ thống đang chạy RocketMQ. Phạm vi ảnh hưởng: <Tên lửaMQ 4.9.7 <Tên lửaMQ 5.1.2 Sửa chữa: - Người dùng phiên bản RocketMQ 4.x nâng cấp lên 4.9.7 trở lên; - Người dùng phiên bản RocketMQ 5.x nâng cấp lên 5.1.2 trở lên.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Odaily Planet Daily News Theo SlowMist News, Apache RocketMQ đã đưa ra một cảnh báo bảo mật nghiêm trọng vào ngày 12 tháng 7, tiết lộ lỗ hổng thực thi lệnh từ xa (CVE-2023-37582). các trường hợp.
Apache RocketMQ là một nền tảng xử lý luồng và tin nhắn phân tán nguồn mở cung cấp khả năng xử lý dữ liệu luồng và tin nhắn có độ trễ thấp có thể mở rộng, đồng thời được sử dụng rộng rãi trong các tình huống như giao tiếp không đồng bộ, tách ứng dụng và tích hợp hệ thống. Có một số lượng lớn các nền tảng trong ngành công nghiệp tiền điện tử sử dụng sản phẩm này để xử lý các dịch vụ nhắn tin, vui lòng lưu ý các rủi ro.
Mô tả lỗ hổng: Khi thành phần NameServer của RocketMQ bị lộ trên mạng bên ngoài và không có cơ chế xác thực hiệu quả, kẻ tấn công có thể sử dụng chức năng cấu hình cập nhật để thực thi các lệnh với tư cách là người dùng hệ thống đang chạy RocketMQ.
Phạm vi ảnh hưởng:
<Tên lửaMQ 4.9.7
<Tên lửaMQ 5.1.2
Sửa chữa:
- Người dùng phiên bản RocketMQ 4.x nâng cấp lên 4.9.7 trở lên;
- Người dùng phiên bản RocketMQ 5.x nâng cấp lên 5.1.2 trở lên.