rabbitmq 漏洞_不要让RabbitMQ漏洞暴露您的CI管道

最新推荐文章于 2024-04-27 17:30:34 发布
最新推荐文章于 2024-04-27 17:30:34 发布
阅读量9.8k 收藏
点赞数
文章标签: java python mysql 安全 linux
原文链接:https://www.theserverside.com/blog/Coffee-Talk-Java-News-Stories-and-Opinions/Dont-like-your-message-broker-be-your-CI-jobs-security-downfall
版权

rabbitmq 漏洞

RabbitMQ是一个开源消息代理,可以在发布者和使用者之间交换异步消息。 消息可以是人类可读的JSON,简单字符串或可以转换为JSON字符串的值列表。

2019年3月, Jenkins安全通报报告在中发现了多个漏洞。 如果您的持续集成管道依赖RabbitMQ,则需要确保您的环境针对1.1.9版本的任何漏洞进行了加固。

插件配置

在将插件连接到代理之前,Jenkins用户需要提供以下类别的值:

  • 名称
  • 主办
  • 港口
  • 用户名
  • 密码

该名称用于在构建步骤中标记指定的配置。 默认值分配给主机和端口。 您必须创建一个唯一的用户名,并且密码用星号屏蔽。

完成这些任务后,请按“连接测试”按钮以确保正确使用这些值。

成功测试之后,可以使用以下步骤配置构建步骤:

邮件路由

Rabbit-MQ Publisher不会直接在RabbitMQ上发布。 而是将消息发布到RabbitMQ交换服务器(Windows,Linux或Ubuntu)上的交换中。 交换决定如何将消息路由到队列。  

数据可以包含环境变量和构建参数。 正确检查后,即可将数据转换为JSON格式。

插件漏洞

第一个漏洞是未加密密码。 它们以纯文本格式存储在Jenkins Master上插件的全局配置文件中。

具有低特权或没有特权的攻击者可以访问配置文件并查看密码,也可以使用公开的密码来更改默认主机和端口的值。 新的插件版本将所有密码加密,然后再存储在配置文件中。

第二个漏洞是插件缺少的权限检查允许任何用户连接到Rabbit MQ。 具有“整体” /“读取”访问权限的用户容易受到Jenkins的攻击,从而无法使用攻击者指定的用户名和密码来启动Rabbit MQ连接到攻击者指定的主机和端口。

此表单验证方法不需要POST请求,从而导致跨站点请求伪造漏洞 。 幸运的是,新版本包含修复程序。 如果您尚未更新您的Jenkins插件,并且较旧的发布者仍处于活动状态,则现在是更新时间。

翻译自: https://www.theserverside.com/blog/Coffee-Talk-Java-News-Stories-and-Opinions/Dont-like-your-message-broker-be-your-CI-jobs-security-downfall

rabbitmq 漏洞

curry3333
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
rabbitmq_delayed_message_exchange-3.9.0.ez
05-09
rabbitmq_delayed_message_exchange-3.9.0.ez
关于rabbitmq安全漏洞的问题
热门推荐
程序员涂小哥的技术博客
02-17 1万+
在我们的很多个项目中都用到了消息中间件,虽然现在有些已经改用了kafka,但是还有相当一部分依然用的是rabbitmq。 而最近呢,我们收到了一份关于安全漏洞扫描的文档,说我们的rabbitmq存在着一些安全漏洞问题,既然是有问题,自然是需要整改的,但是看完文档以后,发现这种安全漏洞问题似乎并不是很好解决。 文档中指出的问题主要有这样三个: 一、更改密码没有验证旧密码 说的具体点
漏洞修复】docker 环境下,AMQP Cleartext认证漏洞rabbitmq明文漏洞修复,超详细
yyysilence的博客
07-04 2550
sh create_client_cert.sh rabbitmq-client 654321 #654321为自定义密码。# -alias后为别称,-file后是服务端公钥位置,-keystore后是输出JSK证书位置 STORE_PASS任意。sh make_server_cert.sh rabbitmq-server 123456 #123456为自定义密码。部署完成后,docker exec进入容器,在容器中添加插件才能启用SSL验证的功能。3. server.key.pem # 服务器私钥。
RabbitMQ开启TLS支持,解决AMQP明文身份验证漏洞
创意程序员的博客
02-26 1574
随着网络通信安全性的日益重要,我们不难发现,在企业级应用中,数据传输的安全防护措施已经成为不可或缺的一环。近期,不少使用RabbitMQ的开发团队收到了关于“远程主机允许明文身份验证”的漏洞警告。为确保敏感信息的安全传递,启用TLS(Transport Layer Security)支持成为了关键的解决方案。本文将详细介绍如何在RabbitMQ中启用TLS加密,以及在SpringBoot应用中配置TLS并设置EXTERNAL认证,通过实际操作步骤解决明文身份验证漏洞
Rabbitmq 3.8.16 升级过程
weixin_49737591的博客
10-01 1611
RabbitMQ代码注入漏洞(CVE-2021-22117) 升级过程
ActiveMQ 反序列化漏洞复现(CVE-2015-5254)
baidu_26383841的博客
10-18 223
Apache ActiveMQ是由美国阿帕奇(Apache)软件基金会开发的开源消息中间件,支持Java消息服务、集群、Spring框架等。属于消息队列组件(消息队列组件:分布式系统中的重要组件,主要解决应用耦合、异步消息、流量削峰等)。
敏感信息泄露总结
goddemon
03-15 1万+
一.源代码泄露 二.服务器导致的泄露 Apache类泄露 样例文件泄露 /examples/servlets/servlet/CookieExample /examples/servlets/servlet/RequestHeadersExample /examples/jsp/snp/snoop.jsp /examples/async/async1 cookie泄露 IIS泄露 典型iis短文件名 https://github.com/lijiejie/IIS_shortname_Scanner To
RabbitMQ真实生产故障问题还原与分析
Java技术攻略的博客
04-20 860
就相当于死循环了,所以容易导致消费端资源占用过高,特别是TCP连接数、线程数、IO飙升,如果个别程序带事务或数据库操作等连接资源得不到释放也会占满,导致应用假死状态(出现问题的时候,查看问题应用出现大量的connection timeout错误报错日志)。那么问题来了,这是为什么呢?: 服务端调用Basic.Deliver方法,和第一次Basic.Deliver方法不同的是,此时的redeliver参数为true,表示重新投递消息到监听队列的消费者,然后这两步会一直重复下去。
生命在于学习——未授权访问漏洞
易水哲的博客
09-01 8937
未授权访问漏洞的学习。
记录RabbitMQ使用的一个bug
qq_44128460的博客
06-13 1856
记录RabbitMQ使用过程的bug,出现bug条件:一是使用默认的vhost名字 / ,二是采用nginx作为管理端的代理转发
rabbitmq 安装以及一些常用命令(非容器)并修复rabbitmq的AMQP漏洞
weixin_44646065的博客
12-21 2093
** 由于容器安装的mq配置文件挂载不进去处理不了AMQP漏洞,故采用以下的方式本文仅提供单机的rabbitmq的安装和漏洞的修复配置 ** 1.安装rabbitMQ 由于RabbitMQ依赖Erlang, 所以在安装rabbitMQ之前需要先安装Erlang 你可以直接执行yum install erlang,但是这种安装方法安装的Erlang版本可能不是最新的,有时候不能满足RabbitMQ需要的最低版本,所以本文推荐使用Erlang Solution安装的方式。 新建一个erlang-solution
rabbitmq_delayed_message_exchange-20171215-3.6.x.zip
12-20
rabbitmq_delayed_message_exchange插件3.6.x版本,用于实现延迟队列; rabbitmq_delayed_message_exchange-20171215-3.6.x.zip; 官网找不到了,提供下~
rabbitmq_delayed_message_exchange3.7
09-29
rabbitmq_delayed_message_exchange3.7
rabbitmq_delayed_message_exchange-3.8.0.zip
05-07
安装一个插件即可:https://www.rabbitmq.com/community-plugins.html ,下载rabbitmq_delayed_message_exchange插件,然后解压放置到RabbitMQ的插件目录...rabbitmq-plugins enable rabbitmq_delayed_message_exchange
rabbitMQ_Demo_rabbitMQ_Demo_rabbitmq_boyyeu_DEMO_中间件_
10-04
MQ消息中间件RabbitMQ 入门到进阶+(牧码人/老王/)+(架构师系列)
mybatisPlus使用MetaObjectHandler对字段进行更新
m0_56356631的博客
04-23 780
都是符合我们的预期的。
java方法重写(重点讲),方法重载
weixin_46281068的博客
04-27 852
一、方法重载定义:一个类中,出现多个方法的名称相同,但是它们的形参列表是不同的,那么这些方法就称为方法重载了。注意:一个类中,只要一些方法的名称相同、形参列表不同,那么它们就是方法重载了,其它的都不管(如:修饰符,返回值类型是否一样都无所谓)。形参列表不同指的是:形参的个数、类型、顺序不同,不关心形参的名称。应用场景:开发中我们经常需要为处理一类业务,提供多种解决方案,此时用方法重载来设计是很专业的。
string模拟实现
m0_73969414的博客
04-23 1782
c++中string的模拟实现,面试必会知识点
Day25-Java基础之常用类1
最新发布
m0_46053885的博客
04-27 852
同时我们发现Math类中的方法都是静态的,因此在使用的时候我们可以直接通过类名去调用。对于计算机而言,其实是没有数据类型的概念的,都是0101010101,数据类型是编程语言自己规定的,所以在实际存储的时候,先把具体的数字变成二进制,每32个bit为一组,存储在数组中。比较内存地址值一般情况下是没有意义的,我们希望比较的是对象的属性,如果两个对象的属性相同,我们认为就是同一个对象;如果我们的数据是一个浮点类型的数据,有的时候计算机并不会将这个数据完全转换成一个二进制数据,而是将这个将其转换成一个无限的。
rabbitmq漏洞
08-29
RabbitMQ是一个开源的消息队列系统。关于RabbitMQ漏洞信息,由于时间有限,我无法提供最新的漏洞情况。建议您随时关注RabbitMQ官方网站或其他可靠的安全信息来源,以获取最新的漏洞信息和安全更新。同时,定期更新RabbitMQ的版本,并采取必要的安全措施来保护您的系统免受潜在的漏洞威胁。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [rabbitmq 安装以及一些常用命令(非容器)并修复rabbitmq的AMQP漏洞](https://blog.csdn.net/weixin_44646065/article/details/111473928)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值