尊敬的家人们,大家好!在过去的几年中,Nacos作为阿里巴巴推出的一项开源项目,为云原生应用的构建和管理提供了许多便利。然而,最近发现了一个安全漏洞,该漏洞可能导致未经授权的用户获取到敏感信息。为了确保您的应用程序的安全性,我们将在本文中向您介绍修复Nacos漏洞的方案
CVE编号
CVE-2021-29441
漏洞类型
远程数据修改
漏洞描述
Nacos 是阿里巴巴推出来的一个开源项目,这是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。 nacos在进行认证授权操作时,会判断请求的user-agent是否为”Nacos-Server”,如果是的话则不进行任何认证。利用这个未授权漏洞,攻击者可以获取到用户名密码等敏感信息。
推荐方案
前往GitHub官方页面获取最新版本:https://github.com/alibaba/nacos
解决方案
我们生产使用的nacos版本为2.1.0,未使用方便,未开启服务身份识别功能,这时我们可以通过postman或者直接在浏览器请求 http://ip:port/nacos/v1/auth/users?pageNo=1&pageSize=9,此时不需要身份认证就可以获取到用户数据;相应如下:
我们的解决方案是:
- 修改 nacos的application.properties配置文件nacos.core.auth.enabled=true,开启服务身份识别功能
重启nacos
此时我们再访问刚才的接口,换在浏览器执行如果出现这个:
出现403的说明修改成功
Nacos注册及配置中心开启权限认证
以上修改完成以后,再次漏扫,nacos权限绕过漏洞(CVE-2021-29441)不会再出现
