在这里总结记录一下,工作中对于nacos漏洞处理时遇到的问题,对于nacos的漏洞问题是如下情况:
- 认证权限认证绕过漏洞
- 影响版本:Nacos <= 2.0.0-ALPHA.1
- (由于不当处理User-Agent导致的未授权访问漏洞 。通过该漏洞,攻击者可以进行任意操作,包括创建新用户并进行登录后操作)
对于nacos的整改方案是如下两处:
- 升级nacos版本
- 开启nacos鉴权
第一步:
即是升级nacos版本,公司内部项目nacos的版本是1.3几,直接升级nacos服务端为2.0.0以上,公司云上有2.0.3的nacos镜像,直接升级nacos2.0.3的镜像即可。
第二步:
升级nacos服务端版本后,这时还需要开启nacos鉴权,有好几种方式开启,可以通过修改nacos配置文件开启,公司项目上是通过docker方式开启的,所以通过nacos的官方文档推荐的方式进行开启,如下:
- NACOS_AUTH_ENABLE,默认false,设置为true
- NACOS_AUTH_CACHE_ENABLE,默认false,设置为true
此处注意一个问题:
NACOS_AUTH_IDENTITY_KEY,NACOS_AUTH_IDENTITY_VALUE,这两个配置是有默认值的,不一定需要使用上。
第三步:
再访问nacos漏洞的那些地址,例如:
ip:端口/nacos/v1/auth/users?username=test&password=test,可以看到已经无法访问,就说明鉴权开启成功了。
第四步:
如果是nacos升级了版本的,那么一定会遇到一个问题,那就是客户端无法将服务注册到nacos了(即使在客户端的配置文件配置了账号密码依旧会注册不到注册中心)。
我修改后的配置:
报错:unknown user!
com.alibaba.nacos.api.exception.NacosException: <html><body><h1>Whitelabel Error Page</h1><p>This application has no explicit mapping for /error, so you are seeing this as a fallback.</p><div id='created'>Sat May 14 06:51:53 CST 2022</div><div>There was an unexpected error (type=Forbidden, status=403).</div><div>unknown user!</div></body></html>
原因是:升级了nacos服务端的版本后,导致nacos服务端的版本和nacos-client的jar包版本不匹配了,就导致服务无法注册到nacos注册中心了。
解决办法:
我先说说自己遇到的坑:我首先想到的是将nacos对应的springboot,springcloudalibab,springcloud的版本全部替换成对应版本,结果我发现,问题大了,这会导致项目出现很多的问题,例如feign也出现了问题,feign的版本也不匹配了,一开始没发现feign的问题,把feign的调用全部加上@lazy懒加载,发现服务是成功注册了,但是调用实际上还是会出现问题。
Requested bean is currently in creation: Is there an unresolvab circular reference?
感觉把事情复杂化了,结果还是看了一眼官网,只改变nacos-client的版本,其他springboot,springcloudalibab,springcloud的版本全部恢复原状。
注意:网上资料是说,1.x版本nacos-client能访问2.x版本nacos-server,但是2.x版本nacos-client不能访问1.x nacos-server。但是。。。。。。。。。。。
我原来的server是1.x,client是1.x,所以应该正常,此时我server升到了2.x,按照网上的说法,此时我的是1.3.3应该也能正常注册才对,但是结果不尽人意,报错了。
com.alibaba.nacos.api.exception.NacosException: <html><body><h1>Whitelabel Error Page</h1><p>This application has no explicit mapping for /error, so you are seeing this as a fallback.</p><div id='created'>Sat May 14 06:51:53 CST 2022</div><div>There was an unexpected error (type=Forbidden, status=403).</div><div>unknown user!</div></body></html>
最终还是将nacos-client的版本也升到对应的nacos-server的版本,2.*。
这个是官方推荐的。
