Apache RocketMQ 是阿里开源的一款高性能、高吞吐量的分布式消息中间件,在由阿里捐赠给Apache软件基金会之后孵化成了Apache的一个顶级项目(Top-Level Project,TLP)。它是一款低延迟、高并发、高可用、高可靠的分布式消息中间件。
RocketMQ既可为分布式应用系统提供异步解耦和削峰填谷的能力,同时也具备互联网应用所需的海量消息堆积、高吞吐、可靠重试等特性。它支持发布和订阅模型,消息生产者应用创建Topic并将消息发送到Topic。消费者应用创建对Topic的订阅以便从其接收消息。通信可以是一对多(扇出)、多对一(扇入)和多对多。
RocketMQ 组件的漏洞列表及修复方案
| 漏洞编号 | 漏洞名称 | 漏洞等级 | 影响版本 | 修复版本 |
| MPS-suce-h9wp | RocketMQ NameServer存在远程代码执行漏洞 | 高危 | [5.0.0, 5.1.2) | 5.1.2 或更高版本 |
| MPS-suce-h9wp | RocketMQ NameServer存在远程代码执行漏洞 | 高危 | [4.0.0-incubating, 4.9.7) | 4.9.7或更高版本 |
墨菲安全的软件供应链安全管理平台,可以快速帮助您识别您代码中的组件漏洞,在检测完成后MurphySec Al Copilot会为您提供合理的一键修复方案。帮助您提升代码安全性,降低漏洞运营成本,规避许可证风险,保护您的数据安全。它还支持多种语言,多种接入方式。
RocketMQ 的漏洞检测和自动化修复方案
组件漏洞检测:
整个检测过程主要分为两个环节:获取项目依赖信息、分析项目依赖存在的漏洞
所有的代码分析过程都在您的本地环境
自动化修复:
MurphySec Al Copilot在为您提供修复方案时会进行兼容性评估
1.通过 「创建 PR」 方式快速修复
如果您是GitHub、GItLab、gitee托管的代码项目,在检测完成后,在安全问题列表页 击 安全问题 -> 创建PR修复 -> 选择 修复方案 -> 提交 Pull Request-> 在 GitHub 上点击 Merge,即可完成快速修复
2.通过 「IDE 自动修复 」 方式快速修复
- 已安装 IDE 插件,在检测完成后 点击 缺陷组件 -> 快速修复 -> 修复方案 -> 确认升级 ,升级后支持 回滚
- 未安装 IDE 插件 先根据 IDE 插件安装教程 (opens new window)安装扫描后,点击 缺陷组件 -> 快速修复 -> 选择 修复方案 -> 确认升级 ,升级后支持 回滚
3.通过 「修复代码 」 方式快速修复
在检测完成后,在安全问题列表页,点击 安全问题 -> 修复代码 -> 选择 修复方案 -> 复制代码 -> 在代码编辑工具中找到定义组件位置并 修改代码,即可完成快速修复
发布者:墨菲安全,转发请注明出处:https://www.murphysec.com/blog/hot/4953.html
