2020年2月18日,腾讯安全威胁情报中心监测到 Apache RocketMQ 目录遍历与拒绝服务漏洞。
【漏洞描述】
Apache RocketMQ是一個分布式消息和流数据平台。在默认情况下,RocketMQ没有配置认证且开启了autoCreateTopicEnable,导致恶意客户端可以利用目录遍历漏洞,使服务端Broker在任意指定的目录下创建5.72M大小的文件夹。
腾讯安全团队进一步研究发现,通过构造恶意的topic name可以直接导致服务端Broker拒绝服务。
腾讯安全威胁情报中心提醒 Apache RocketMQ用户尽快采取安全措施阻止漏洞攻击。
【影响版本】
Apache RocketMQ < 4.6.1
【安全版本】
Apache RocketMQ >= 4.6.1
【安全建议】
1.尽快升级至安全版本;
2.禁止自动创建topic,修改Broker配置文件broker.properties,设置autoCreateTopicEnable为false.
【参考链接】
https://github.com/apache/rocketmq/issues/1637
https://help.aliyun.com/noticelist/articleid/1060234685.html