漏洞描述

Apache RocketMQ是一個(gè)分布式消息和流數(shù)據(jù)平臺(tái)。在默認(rèn)情況下，RocketMQ沒(méi)有配置認(rèn)證且開(kāi)啟了autoCreateTopicEnable，導(dǎo)致惡意客戶端可以利用目錄遍歷漏洞，使服務(wù)端Broker在任意指定的目錄下創(chuàng)建5.72M大小的文件夾。經(jīng)進(jìn)一步研究后發(fā)現(xiàn)，通過(guò)構(gòu)造惡意的topic name可以直接導(dǎo)致服務(wù)端Broker拒絕服務(wù)。阿里云應(yīng)急響應(yīng)中心提醒 Apache RocketMQ用戶盡快采取安全措施阻止漏洞攻擊。

影響版本

Apache RocketMQ < 4.6.1

安全版本

Apache RocketMQ >= 4.6.1

安全建議

1. 升級(jí)至安全版本

2. 禁止自動(dòng)創(chuàng)建topic，修改Broker配置文件broker.properties，設(shè)置autoCreateTopicEnable為false.

相關(guān)鏈接

https://github.com/apache/rocketmq/issues/1637