CVE-2023-37582 Apache RocketMQ NameServer远程代码执行漏洞

2023-12-21 13:50:19

上集回顾

CVE-2023-33246 RocketMQ RCE漏洞

影响版本

Apache RocketMQ NameServer 5.0.0 ~ 5.1.1
Apache RocketMQ NameServer 4.0.0 ~ 4.9.6

参考

https://xz.aliyun.com/t/12691

环境搭建

拉取镜像

docker pull apache/rocketmq:4.9.6
docker pull apacherocketmq/rocketmq-console:2.0.0

在这里插入图片描述

启动namesrv

docker run -d -p 9876:9876 -v /data/namesrv/logs:/root/logs\
 -v /data/namesrv/store:/root/store --name rmqnamesrv\
 -e "MAX_POSSIBLE_HEAP=100000000" apache/rocketmq:4.9.6 sh mqnamesrv

在这里插入图片描述

创建目录并配置broker文件

mkdir -p /mydata/rocketmq/conf/
vi /mydata/rocketmq/conf/broker.conf

粘贴以下内容

brokerClusterName = DefaultCluster 
brokerName = broker-a 
brokerId = 0 
deleteWhen = 04 
fileReservedTime = 48 
brokerRole = ASYNC_MASTER 
flushDiskType = SYNC_FLUSH
brokerIP1 = X.X.X.X    #主机IP

在这里插入图片描述

启动broker和console

docker run -d -p 10911:10911 -p 10909:10909 -v /data/broker/logs:/root/logs\
 -v /data/broker/store:/root/store\
 -v /mydata/rocketmq/conf/broker.conf:/opt/rocketmq/conf/broker.conf\
 --name rmqbroker --link rmqnamesrv:namesrv -e "NAMESRV_ADDR=namesrv:9876"\
 -e "MAX_POSSIBLE_HEAP=200000000" apache/rocketmq:4.9.6 sh mqbroker\
 -c /opt/rocketmq/conf/broker.conf
docker run -d --name rmqconsole -p 8899:8080 --link rmqnamesrv:namesrv\
 -e "JAVA_OPTS=-Drocketmq.namesrv.addr=10.88.80.135:9876\
 -Dcom.rocketmq.sendMessageWithVIPChannel=false"\
 -t apacherocketmq/rocketmq-console:2.0.0

访问页面

在这里插入图片描述

漏洞复现

EXP地址

https://github.com/coffeehb/Some-PoC-oR-ExP/blob/7296d25083dbef63f61f25c5a09977abb091f615/RocketMQ/CVE-2023-37582.py

使用方式

python3脚本执行

使用效果

在这里插入图片描述
在这里插入图片描述
我感觉就是一个任意文件写入,毕竟利用需要受害者去执行,所以CVE漏洞报告原文中也用的是"possible when using update"这种含糊不清的字眼。

漏洞原理

漏洞补丁为:
在这里插入图片描述

与CVE-2023-33246的修复相比,增加了configStorePath黑名单关键字。

从CVE-2023-33246中的update()起手:
在这里插入图片描述
persist()中使用string2File造成文件写入,第二个参数是filename:
在这里插入图片描述
getStorePath()中,返回值realStorePath由实例化的Field的path填充,而这个filed可以根据发送的body字段可控:
在这里插入图片描述

修复方式

升级到安全版本
Apache RocketMQ NameServer 5.1.2
Apache RocketMQ NameServer 4.9.7

文章来源:https://blog.csdn.net/mirocky/article/details/135126400
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。