Nacos客户端漏洞修复

已于 2024-09-14 23:42:27 修改
阅读量1.5k 收藏 10
点赞数 21
CC 4.0 BY-SA版权
文章标签: java spring cloud spring boot 中间件 安全 chatgpt maven
于 2024-09-14 23:41:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u011460470/article/details/142262929

漏洞一

受影响组件
  • 名称: nacos-api
  • 路径: app/app.jar/BOOT-INF/lib/nacos-api-1.4.1.jar
  • 类型: WEB
  • 版本: 1.4.1
  • 修复版本: 1.4.6, 2.2.3
描述

Nacos在处理某些基于Jraft的请求时,采用Hessian进行反序列化,但并未设置限制,导致应用存在远程代码执行漏洞。主要受影响的是7848端口的Jraft服务。Nacos 1.x在单机模式下默认不开放7848端口,故该情况通常不受此漏洞影响。

使用cluster集群模式运行Nacos 1.4.0到1.4.6(不包含1.4.6)版本受此漏洞影响,然而,2.x版本无论单机或集群模式均默认开放7848端口均受该漏洞的影响。

####受影响版本

  • 1.4.0 <= Nacos < 1.4.6
  • 2.0.0 <= Nacos < 2.2.3

解决方案

  1. 升级修复
    官方已发布新版本修复了该漏洞,可下载参考链接中的最新版本进行升级。
    参考链接:

  2. 临时缓解
    对外限制开放7848端口,一般使用时该端口为Nacos集群间Raft协议的通信端口。因此老版本可以通过禁止该端口来自Nacos集群外的请求来缓解此漏洞。(如部署时已进行限制或未暴露,则风险可控)。

漏洞二

受影响组件
  • 名称: nacos-client
  • 路径: app/app.jar/BOOT-INF/lib/nacos-client-1.4.1.jar
  • 类型: WEB
  • 版本: 1.4.1
  • 修复版本: >2.0.3
描述

Nacos 2.0.3版本存在安全漏洞,该漏洞源于在访问提示页面中存在访问控制漏洞

漏洞三

受影响组件
  • 名称: nacos-common
  • 路径: app/app.jar/BOOT-INF/lib/nacos-common-1.4.1.jar
  • 类型: WEB
  • 版本: 1.4.1
  • 修复版本: >2.0.3
描述

Nacos 2.0.3中通过 pageSize 和 pageNo 参数在 auth/users 中存在跨站脚本 (XSS) 漏洞

修复过程

生产环境服务版本情况:

组件名称 版本
Spring Cloud Alibaba Version 2021.0.1.0
Spring Cloud Version 2021.0.2
Spring Boot Version 2.6.8
Nacos服务端 2.2.0
Nacos客户端 1.4.1

官方各版本和组件对照表:Spring Boot + Spring Cloud Aibaba + Nacos版本依赖关系,升级版本如下:

组件名称 版本
Spring Cloud Alibaba Version 2021.0.5.0
Spring Cloud Version 2021.0.5
Spring Boot Version 2.6.13
Nacos服务端 2.2.0
Nacos客户端 2.2.0

原生产代码:

<properties>
    <spring-boot.version>2.6.8</spring-boot.version>
    <spring-cloud.version>2021.0.2</spring-cloud.version>
    <spring-cloud-alibaba.version>2021.0.1.0</spring-cloud-alibaba.version>
</properties>

<dependencies>
    <dependency>
        <groupId>com.alibaba.cloud</groupId>
        <artifactId>spring-cloud-starter-alibaba-nacos-discovery</artifactId>
    </dependency>
    <dependency>
最低0.47元/天 解锁文章

200万优质内容无限畅学
wang魅力kk
关注
Nacos 1.4.1 紧急升级修复Alibaba Nacos 认证绕过漏洞
bufegar0的博客
01-14 7032
使用背景 NacosSpring Cloud Alibaba的微服务的配置和发现的组件,目前暴露出安全漏洞,主要包括如下: 根据Nacos官方在github发布的issue,Alibaba Nacos存在一处认证绕过漏洞。由于对User-Agent字段判断规则不完善,Nacos开启鉴权后攻击者仍可以绕过鉴权访问任意http接口,从而进行访问用户列表、添加用户等任意操作,风险极大。 官方紧急修复 用户升级至Nacos 1.4.1版本后即可解决此问题。 特征 -[ #978 ]支持IPv6。 -[ #3917
Nacos漏洞修复Nacos未授权访问漏洞(CVE-2021-29441)
m0_52985087的博客
03-20 1万+
但是由于配置的过于简单,并且将协商好的user-agent设置为Nacos-Server,直接硬编码在了代码里,导致了漏洞的出现。命令:curl -X GET 'http://localhost:8848/nacos/v1/auth/users?命令:curl -X GET 'http://localhost:8848/nacos/v1/auth/users?命令:curl -X GET 'http://localhost:8848/nacos/v1/console/server/state'
【一文看懂Nacos鉴权机制】Nacos服务端身份认证机制深度解析:从漏洞修复到生产实践
最新发布
06-10 1099
Nacos服务端身份认证机制深度解析:从漏洞修复到生产实践
修复nacos漏洞问题SQL注入CNVD-2020-67618、未授权访问CVE-2021-29441等
kaopuzong的博客
02-06 3934
修复nacos漏洞问题:漏洞1:SQL注入CNVD-2020-67618 漏洞2:未授权访问CVE-2021-29441 漏洞3:token.secret.key默认配置QVD-2023-6271 漏洞4:Jraft Hessian反序列化CNVD-2023-45001
Nacos提权漏洞修复
cc123489ll的博客
06-06 1182
Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。若您Nacos未修改secret.key,则攻击者可利用默认secret.key生成JWT Token,从而造成权限绕过访问到相关API接口。Nacos 官方于 2023年3月2日发布 2.2.0.1版本。
NacosNacos 双端版本升级实战手册
正则表达式
01-14 3529
Nacos 服务端 + 客户端 从 1.1.4 升级到 2.2.4 的经验分享,希望对你有所帮助!
Nacos 2.2.0反序列化漏洞和禅道18.0.0.1内网渗透
qq_63322621的博客
10-27 999
利用Nacos 2.2.0反序列化漏洞Nacos是一个广泛使用的配置管理和服务发现工具。在2.2.0版本中,存在反序列化漏洞,构造恶意的序列化数据包,通过Nacos的反序列化机制触发漏洞,可以被利用来执行恶意代码。成功利用漏洞后,可以在目标系统上执行任意命令。禅道RCE漏洞:禅道是一款项目管理软件,其18.0.1版本中存在远程代码执行漏洞。通过该漏洞,攻击者可以向目标系统发送特制请求,执行任意代码。学习链接:下载Nacos安装包​​Windows安装java8教程。
Nacos认证绕过漏洞修复
LOOPY_Y的博客
06-11 4037
nacos认证绕过漏洞修复
Nacos安全漏洞修复方案:保护您的应用服务
修己xj的博客
06-16 2938
尊敬的家人们,大家好!在过去的几年中,Nacos作为阿里巴巴推出的一项开源项目,为云原生应用的构建和管理提供了许多便利。然而,最近发现了一个安全漏洞,该漏洞可能导致未经授权的用户获取到敏感信息。为了确保您的应用程序的安全性,我们将在本文中向您介绍修复Nacos漏洞的方案
nacos未授权访问漏洞修复/xss漏洞修复-新手白客教学
2401_84915584的博客
06-26 457
IT之家 6 月 14 日消息,谷歌公司于本周二 (6 月 11 日) 发布了 Chrome 126 定版浏览器更新,重点修复了高危的内存安全
Nacos漏洞总结复现
heike_Ch的博客
04-23 1820
Nacos中发现影响Nacos <= 2.1.0的问题,Nacos用户使用默认JWT密钥导致未授权访问漏洞。通过该漏洞,攻击者可以绕过用户名密码认证,直接登录Nacos用户。
Nacos 修复 Tomcat 信息泄露漏洞CVE-2024-21733
eyeofeagle的博客
08-22 1423
漏洞名称:Apache Tomcat 信息泄露漏洞 漏洞编号:CVE-2024-21733 漏洞等级:高危 影响版本:Apache Tomcat 9.0.0-M11 至 9.0.43, Apache Tomcat 8.5.7 至 8.5.63 安全建议:目前该漏洞已经修复,受影响用户可升级到以下版本: Apache Tomcat >= 9.0.44 Apache Tomcat >= 8.5.64Apache Tomcat版本9.0.0-M11 - 9.0.43、8.5.7 - 8.5.63中均存在该信息泄露
速报:Nacos最新0day漏洞的临时修补方案
ABC_123的博客
07-15 851
Part1 前言大家好,我是ABC_123。今天下午github上有网友公布了最新的nacos远程代码执行漏洞及exp,目前官方补丁还没出来,这里ABC_123给大家提供一个临时的漏洞修补方案。Part2 技术研究过程首先这个nacos的0day漏洞是真实存在的,危害是很严重的,再者这是一个登录后台才能利用的漏洞,而且出网才能利用。有网友会说,有的nacos不需要登录后台也能打,那是因为所...
NACOS漏洞问题及修复(CVE-2021-29441)
热门推荐
Hoopy_Hoopy的博客
09-14 2万+
目录 1.漏洞相关问题 2.场景复现 2.1访问用户列表界面 2.2添加新用户 2.3再次查看用户列表 3.nacos升级 4.代码升级 1.漏洞相关问题 漏洞相关地址 CVE-2021-29441 - Nacos is a platform designed for dynamic service discovery and configuration and service management. - CVE-Searchhttps://cve.circl.lu/cve/CVE-20
nacos有哪些漏洞
12-28
### Nacos 安全漏洞概述 Nacos 存在多个已知的安全漏洞,主要包括 User-Agent 绕过安全漏洞、控制台不可用问题以及未授权访问和 XSS 漏洞等问题。这些问题可能导致未经授权的用户获取敏感配置或执行恶意操作。 #### 用户代理绕过安全漏洞及其修复措施 针对 User-Agent 绕过的安全漏洞,在最新的 1.4.1 版本中已经得到了解决[^1]。为了防止特定的 HTTP 请求头(如 `User-Agent` 设置为 "Nacos-Server")能够绕过身份验证机制的情况发生,应当调整应用程序属性文件中的设置: ```properties nacos.core.auth.enable.userAgentAuthWhite=false ``` 此更改确保即使存在特殊的请求头部也不会被错误地识别并允许进入系统内部资源[^4]。 #### 开启认证授权以增强安全性 默认情况下安装完成后的 Nacos 实例可能并未启用严格的权限控制系统,这使得任何拥有网络连接的人都能轻易地浏览甚至修改服务注册表单内的条目。因此强烈建议按照官方指导文档来激活必要的保护特性——即实施基于用户名密码的身份校验流程,并且仅限合法账户才可进行管理层面的操作[^2]。 #### 处理跨站脚本攻击风险 除了上述提到的内容之外,还应注意防范潜在的跨站点脚本注入威胁[XSS]。这类缺陷通常源于开发者未能充分过滤来自客户端提交的数据流之前就将其直接嵌入到网页响应体里;一旦成功利用,则会危害访客隐私乃至整个平台架构稳定性。虽然目前没有具体提及有关此类事件的技术细节,但从最佳实践角度出发,务必定期审查源码质量,采用现代框架自带防护组件或是第三方库辅助实现输入输出两端的有效净化处理逻辑[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值