【问题篇】整改Nacos漏洞——升级Nacos以及开启鉴权问题整理

       在这里总结记录一下，工作中对于nacos漏洞处理时遇到的问题，对于nacos的漏洞问题是如下情况：

• 认证权限认证绕过漏洞
  
• 影响版本：Nacos <= 2.0.0-ALPHA.1
  
• （由于不当处理User-Agent导致的未授权访问漏洞 。通过该漏洞，攻击者可以进行任意操作，包括创建新用户并进行登录后操作）
  

对于nacos的整改方案是如下两处：

1. 升级nacos版本
2. 开启nacos鉴权

第一步：

即是升级nacos版本，公司内部项目nacos的版本是1.3几，直接升级nacos服务端为2.0.0以上，公司云上有2.0.3的nacos镜像，直接升级nacos2.0.3的镜像即可。

第二步：

升级nacos服务端版本后，这时还需要开启nacos鉴权，有好几种方式开启，可以通过修改nacos配置文件开启，公司项目上是通过docker方式开启的，所以通过nacos的官方文档推荐的方式进行开启，如下：

Nacos Docker 快速开始

• NACOS_AUTH_ENABLE，默认false，设置为true
• NACOS_AUTH_CACHE_ENABLE，默认false，设置为true

此处注意一个问题：

NACOS_AUTH_IDENTITY_KEY，NACOS_AUTH_IDENTITY_VALUE，这两个配置是有默认值的，不一定需要使用上。

第三步：

再访问nacos漏洞的那些地址，例如：

ip:端口/nacos/v1/auth/users?username=test&password=test，可以看到已经无法访问，就说明鉴权开启成功了。

第四步：

如果是nacos升级了版本的，那么一定会遇到一个问题，那就是客户端无法将服务注册到nacos了（即使在客户端的配置文件配置了账号密码依旧会注册不到注册中心）。

我修改后的配置：

报错：unknown user!

com.alibaba.nacos.api.exception.NacosException: <html><body><h1>Whitelabel Error Page</h1><p>This application has no explicit mapping for /error, so you are seeing this as a fallback.</p><div id='created'>Sat May 14 06:51:53 CST 2022</div><div>There was an unexpected error (type=Forbidden, status=403).</div><div>unknown user!</div></body></html>
 

原因是：升级了nacos服务端的版本后，导致nacos服务端的版本和nacos-client的jar包版本不匹配了，就导致服务无法注册到nacos注册中心了。

解决办法：

我先说说自己遇到的坑：我首先想到的是将nacos对应的springboot，springcloudalibab，springcloud的版本全部替换成对应版本，结果我发现，问题大了，这会导致项目出现很多的问题，例如feign也出现了问题，feign的版本也不匹配了，一开始没发现feign的问题，把feign的调用全部加上@lazy懒加载，发现服务是成功注册了，但是调用实际上还是会出现问题。

Requested bean is currently in creation: Is there an unresolvab circular reference?

感觉把事情复杂化了，结果还是看了一眼官网，只改变nacos-client的版本，其他springboot，springcloudalibab，springcloud的版本全部恢复原状。

注意：网上资料是说，1.x版本nacos-client能访问2.x版本nacos-server，但是2.x版本nacos-client不能访问1.x nacos-server。但是。。。。。。。。。。。

我原来的server是1.x,client是1.x，所以应该正常，此时我server升到了2.x,按照网上的说法，此时我的是1.3.3应该也能正常注册才对，但是结果不尽人意，报错了。

com.alibaba.nacos.api.exception.NacosException: <html><body><h1>Whitelabel Error Page</h1><p>This application has no explicit mapping for /error, so you are seeing this as a fallback.</p><div id='created'>Sat May 14 06:51:53 CST 2022</div><div>There was an unexpected error (type=Forbidden, status=403).</div><div>unknown user!</div></body></html>

最终还是将nacos-client的版本也升到对应的nacos-server的版本，2.*。

这个是官方推荐的。