RocketMQ 组件的安全漏洞及修复方案

Apache RocketMQ 是阿里开源的一款高性能、高吞吐量的分布式消息中间件,在由阿里捐赠给Apache软件基金会之后孵化成了Apache的一个顶级项目(Top-Level Project,TLP)。它是一款低延迟、高并发、高可用、高可靠的分布式消息中间件。

RocketMQ既可为分布式应用系统提供异步解耦和削峰填谷的能力,同时也具备互联网应用所需的海量消息堆积、高吞吐、可靠重试等特性。它支持发布和订阅模型,消息生产者应用创建Topic并将消息发送到Topic。消费者应用创建对Topic的订阅以便从其接收消息。通信可以是一对多(扇出)、多对一(扇入)和多对多。

RocketMQ 组件的漏洞列表及修复方案

漏洞编号漏洞名称漏洞等级影响版本修复版本
MPS-suce-h9wpRocketMQ NameServer存在远程代码执行漏洞高危[5.0.0, 5.1.2)5.1.2 或更高版本
MPS-suce-h9wpRocketMQ NameServer存在远程代码执行漏洞高危[4.0.0-incubating, 4.9.7)4.9.7或更高版本
更多漏洞详情:RocketMQ NameServer存在远程代码执行漏洞(CVE-2023-37582)_墨菲安全 (murphysec.com)

墨菲安全的软件供应链安全管理平台,可以快速帮助您识别您代码中的组件漏洞,在检测完成后MurphySec Al Copilot会为您提供合理的一键修复方案。帮助您提升代码安全性,降低漏洞运营成本,规避许可证风险,保护您的数据安全。它还支持多种语言,多种接入方式。

RocketMQ 的漏洞检测和自动化修复方案

组件漏洞检测:

RocketMQ 组件的安全漏洞及修复方案

整个检测过程主要分为两个环节:获取项目依赖信息、分析项目依赖存在的漏洞

所有的代码分析过程都在您的本地环境

自动化修复:

MurphySec Al Copilot在为您提供修复方案时会进行兼容性评估

RocketMQ 组件的安全漏洞及修复方案

1.通过 「创建 PR」 方式快速修复

如果您是GitHub、GItLab、gitee托管的代码项目,在检测完成后,在安全问题列表页 击 安全问题 -> 创建PR修复 -> 选择 修复方案 -> 提交 Pull Request-> 在 GitHub 上点击 Merge,即可完成快速修复

RocketMQ 组件的安全漏洞及修复方案

2.通过 「IDE 自动修复 」 方式快速修复

  • 已安装 IDE 插件,在检测完成后 点击 缺陷组件 -> 快速修复 -> 修复方案 -> 确认升级 ,升级后支持 回滚
RocketMQ 组件的安全漏洞及修复方案

3.通过 「修复代码 」 方式快速修复

在检测完成后,在安全问题列表页,点击 安全问题 -> 修复代码 -> 选择 修复方案 -> 复制代码 -> 在代码编辑工具中找到定义组件位置并 修改代码,即可完成快速修复

RocketMQ 组件的安全漏洞及修复方案

发布者:墨菲安全,转发请注明出处:https://www.murphysec.com/blog/hot/4953.html

(0)
上一篇 2023年7月14日 15:23
下一篇 2023年7月14日 19:55

相关推荐

  • 如何排查软件中的使用的开源组件清单?

    软件中为什么会依赖开源组件? 在软件开发的过程中,我们往往会使用一些第三方或者开源的组件,来提供一些基础的功能或者服务,从而简化开发工作,提高效率和质量。例如,我们可能会使用 Apache Commons、Spring Boot、jQuery 等开源组件来实现一些常见的操作,如字符串处理、Web 开发、DOM 操作等。 使用开源组件的好处是显而易见的,它们可…

    2023年7月6日
  • 墨菲安全参与信息通信软件供应链安全社区成员大会并获自主研发创新成果奖

    2023年2月16日,首届ICT软件供应链安全治理论坛暨信息通信软件供应链安全社区第二届成员大会在北京成功举办,多位业界顶级专家与工业和信息化部网络安全管理局相关领导出席,为现场观众分享了关于软件供应链可持续性与安全治理行业的前瞻与思考。会议期间,墨菲安全自主研发的【软件供应链安全管理平台】授予了自主研发创新成果奖。会议下午,墨菲安全协助中国移动举办分会场论…

    2023年2月20日
  • GitHub集成 MurphySec 实时代码安全检测

    将MurphySec代码安全检测工具集成到GitHub action中,可对每一次代码更新实时进行安全漏洞检测,并快速修复这些安全漏洞。 如果您使用过GitHub Actions 请直接按照第3步开始操作 效果图 未开启请点击Actions启用GitHub Actions 如展示如下图所示表示项目已开启Actions 进入项目页面配置Action权限 点击s…

    2023年7月10日
  • Gitlab 集成 MurphySec 实时代码安全检测

    一、功能简介 将墨菲安全代码安全检测工具集成到 GitLab CI 中,可对每一次代码更新实时进行安全漏洞检测,并快速修复这些安全漏洞。 如果您使用过 GitLab CI 请直接按照第 4 步开始操作 集成效果 二、操作步骤 2.1 部署 GitLab Runner 为了使用 GitLab 的 CI/CD 功能,我们需要在一台能够访问到 GitLab 服务的…

    2023年7月17日
  • 软件供应链安全相关监管要求

    引言 软件供应链是指软件从开发到交付到使用的整个过程中涉及的所有组织、人员、活动、资源和技术的集合。软件供应链具有复杂性、动态性、分布性和多样性等特点,涉及多个主体、多个环节、多个层次和多个领域。软件供应链不仅是软件产品和服务的生产者和提供者,也是软件产品和服务的消费者和使用者,构成了一个复杂的网络系统。 软件供应链面临着多方面的安全风险和挑战,如恶意代码植…

    2023年7月14日

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

联系我们

400-180-9568

邮件:hi@murphysec.com

工作时间:周一至周五,10:00-19:00,节假日休息

关注公众号

20230105-100741