Apache RocketMQ 5.3.0版本Tomcat依赖漏洞分析与解决方案

背景说明

在Apache RocketMQ 5.3.0版本中，安全扫描发现其依赖的tomcat-embed-core-8.5.46.jar组件存在已知安全问题。该问题影响范围为Tomcat 8.5.7至8.5.63版本，官方已在8.5.64版本中修复。作为分布式消息中间件的核心组件，此类技术问题需要引起重视。

技术分析

问题影响

1. 依赖路径：问题组件通过io.jaegertracing:jaeger-thrift间接引入，属于Jaeger分布式追踪功能的传递性依赖
2. 影响等级：该问题可能影响系统稳定性，具体表现取决于部署环境
3. 组件作用：Tomcat嵌入式核心库主要用于Jaeger的HTTP通信层，非RocketMQ核心功能模块

临时解决方案

对于生产环境，可采用以下应急处理措施：

1. 手动移除lib目录下的tomcat-embed-core-8.5.46.jar
2. 通过Maven排除传递依赖：

<dependency>
    <groupId>io.jaegertracing</groupId>
    <artifactId>jaeger-thrift</artifactId>
    <exclusions>
        <exclusion>
            <groupId>org.apache.tomcat.embed</groupId>
            <artifactId>tomcat-embed-core</artifactId>
        </exclusion>
    </exclusions>
</dependency>

长期建议

1. 版本升级：建议升级到RocketMQ后续版本（5.3.1+），开发团队已计划更新依赖链
2. 依赖审查：定期使用OWASP Dependency-Check等工具进行组件安全检查
3. 最小化部署：生产环境建议移除非必要组件（如Jaeger等监控组件）以优化系统架构

实施验证

移除Tomcat依赖后需验证：

1. 基础消息收发功能
2. 控制台管理接口
3. 监控指标采集功能（如使用Jaeger则需要额外验证）

注：该操作不会影响RocketMQ的核心消息代理功能，仅可能影响部分监控数据的HTTP传输功能。