在Nacos中nacos漏扫漏洞影响范围0.1.0 <= Nacos <= 2.2.0,有什么问题?
在Nacos中,我这边nacos漏扫说漏洞影响范围0.1.0 <= Nacos <= 2.2.0,可我实际已经变更到2.2.3了,帮忙看下把!
写回答
-
网站:http://ixiancheng.cn/ 微信订阅号:小马哥学JAVA经过查找资料发现这个是一个Nacos的漏洞,建议升级最新版本的软件;
Nacos中发现影响Nacos <= 2.1.0的问题,Nacos用户使用默认JWT密钥导致未授权访问漏洞。 通过该漏洞,攻击者可以绕过用户名密码认证,直接登录Nacos用户;Nacos 2.2.0 删除了 Nacos 1.x 版本中 Naming 和双写相关的旧冗余代码,所以,更新后,Nacos 服务端无法直接从 1.x 版本升级到最新的 Nacos 2.2.0 版本,只能从 Nacos 2.x 系列版本进行升级。
Nacos Server 正确的升级姿势:
Nacos 1.x -> Nacos 2.2.0
Nacos 2.x -> Nacos 2.2.0
尽管本次升级会影响 Nacos 服务端的升级,但却不会影响 Nacos 1.x 客户端的适配及请求,Nacos 客户端仍然可以使用 1.x 和 2.2.0 版本。2023-12-05 15:45:07赞同 展开评论 打赏
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
阿里云拥有国内全面的云原生产品技术以及大规模的云原生应用实践,通过全面容器化、核心技术互联网化、应用 Serverless 化三大范式,助力制造业企业高效上云,实现系统稳定、应用敏捷智能。拥抱云原生,让创新无处不在。
