RocketMQ之升级依赖jar包版本

雨点打透心脏的1/2处 2024-04-18 12:12 110阅读 0赞

今天发现阿里云的"云安全中心"报出了一个新漏洞，漏洞叫做"fastjson < 1.2.60远程拒绝服务漏洞"。  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3djMTY5NTA0MDg0Mg_size_16_color_FFFFFF_t_70]  
大致意思是说如果不更新fastjson的版本，就可能被攻击者利用漏洞使得服务器的CPU、内存等资源被耗尽，最终拒绝服务。  
从受影响的资产中，可以看出是rocketmq的依赖jar包中有fastjson。

于是我仔细想了下，我们的几个环境中，生产环境、预发环境和测试环境的rocketmq只能通过阿里云内网调用，不存在被攻击的可能，只有阿里云上的开发环境是有外网调用的，所以开发环境的rocketmq中的fastjson.jar需要更新到1.2.60版本。

## 1.思路 ##

我之前安装的rocketmq都是直接下载的二进制包。这次需要改里面的依赖包的版本，所以必须下载相应版本的源码包，然后把pom文件中的fastjson的版本改为1.2.60，再进行编译。编译完之后，停掉原先安装的rocketmq，并把其中修改过的一些文件（配置文件、启动文件、日志目录、存储目录）拷贝过到新的rocketmq中，再启动新的rockermq即可。

## 2.下载对应版本的源码包 ##

下载地址为http://rocketmq.apache.org/dowloading/releases/  
我的rocketmq的版本为4.3.0，所以下载下图中的源码包  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3djMTY5NTA0MDg0Mg_size_16_color_FFFFFF_t_70 1]

## 3.下载完成之后步骤为：解压–>修改pom文件–>编译打包 ##

[root@devops-01 test]# unzip rocketmq-all-4.3.0-source-release.zip 
    [root@devops-01 test]# cd rocketmq-all-4.3.0
    [root@devops-01 rocketmq-all-4.3.0]# vim pom.xml 
                <dependency>
                    <groupId>com.alibaba</groupId>
                    <artifactId>fastjson</artifactId>
                    <version>1.2.60</version>
                </dependency>
    [root@devops-01 rocketmq-all-4.3.0]# mvn -Prelease-all -DskipTests clean install -U
    [root@devops-01 rocketmq-all-4.3.0]# cd distribution/target

在这个目录下你会可看到打包好的安装包。  
![在这里插入图片描述][20190906160223503.png]

## 4.复制文件复制到新的rocketmq中 ##

[root@devops-01 target]# cp /usr/local/rocketmq-4.3.0/conf/broker.conf apache-rocketmq/conf/
    [root@devops-01 target]# cp /usr/local/rocketmq-4.3.0/conf/nameser.properties apache-rocketmq/conf/
    [root@devops-01 target]# cp /usr/local/rocketmq-4.3.0/bin/runserver.sh apache-rocketmq/conf/runserver.sh apache-rocketmq/bin/
    [root@devops-01 target]# cp /usr/local/rocketmq-4.3.0/bin/runbroker.sh apache-rocketmq/conf/runserver.sh apache-rocketmq/bin/
    杀掉rocketmq的进程
    [root@devops-01 target]# cp -rf /usr/local/rocketmq-4.3.0/logs apache-rocketmq/
    [root@devops-01 target]# cp -rf /usr/local/rocketmq-4.3.0/store apache-rocketmq/
    [root@devops-01 target]# mv /usr/local/rocketmq-4.3.0 /tmp/
    [root@devops-01 target]# mv apache-rocketmq /usr/local/rocketmq-4.3.0

## 5.然后只需启动rocketmq即可 ##

nohup sh /usr/local/rocketmq-4.3.0/bin/mqnamesrv -c /usr/local/rocketmq-4.3.0/conf/nameser.properties >> /usr/local/rocketmq-4.3.0/logs/mqnamesrv_stdout.log 2>&1 &
    nohup sh /usr/local/rocketmq-4.3.0/bin/mqbroker -c /usr/local/rocketmq-4.3.0/conf/broker.conf >> /usr/local/rocketmq-4.3.0/logs/broker_stdout.log 2>&1 &

这样，rocketmq的升级依赖jar包版本的操作就完成了，可以去新的rocketmq中查看一下之前的topic是否还在，当然，答案是肯定的。

参考文章：http://rocketmq.apache.org/docs/quick-start/

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3djMTY5NTA0MDg0Mg_size_16_color_FFFFFF_t_70]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/18/5afd737930bd4482abf609a0b1a8309b.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3djMTY5NTA0MDg0Mg_size_16_color_FFFFFF_t_70 1]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/18/387e56cc2d09441bb3151a1ef9bcd35e.png
[20190906160223503.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/18/691739cc480b40f9b205f58c943a083d.png