开发者社区 > 云原生 > 正文

nacos1.4.1的版本的漏洞,除了升级版本,还有其他办法吗?1.4.2版本会有这个漏洞吗?

nacos1.4.1的版本的漏洞,除了升级版本,还有其他办法吗?1.4.2版本会有这个漏洞吗?

展开
收起
哈喽!小陈 2022-07-11 15:18:59 436 0
3 条回答
写回答
取消 提交回答
  • 无所不能的蛋蛋

    关于Nacos 1.4.1版本的漏洞问题,首先建议您尽快升级到最新版本。升级到最新版本可以确保您使用的是修复了已知漏洞的版本,并获得更好的功能和性能。

    除了升级版本,还可以考虑以下几个办法来减轻漏洞的风险:

    1. 配置安全策略:通过正确配置Nacos的访问控制策略,限制对敏感操作和功能的访问,例如只允许授权的用户和IP地址进行关键配置的修改。

    2. 网络安全措施:加强Nacos所在服务器的网络安全,包括限制远程访问和暴露的端口,使用防火墙等技术来保护服务器免受未经授权的访问。

    3. 监控和日志:启用Nacos的监控和日志功能,及时发现异常行为和异常访问,确保及时采取措施来应对潜在的安全问题。

    关于Nacos 1.4.2版本是否存在同样的漏洞,目前我还没有测试。你可以升级完成后测试一下

    2023-12-01 08:33:43
    赞同 展开评论 打赏
  • nacos最新版本1.4.1对于User-Agent绕过安全漏洞的serverIdentity key-value修复机制,依然存在绕过问题,在nacos开启了serverIdentity的自定义key-value鉴权后,通过特殊的url构造,依然能绕过限制访问任何http接口。

    通过查看该功能,需要在application.properties添加配置nacos.core.auth.enable.userAgentAuthWhite:false,才能避免User-Agent: Nacos-Server绕过鉴权的安全问题。

    但在开启该机制后,我从代码中发现,任然可以在某种情况下绕过,使之失效,调用任何接口,通过该漏洞,我可以绕过鉴权,做到:

    调用添加用户接口,添加新用户(POST https://127.0.0.1:8848/nacos/v1/auth/users?username=test&password=test),
    然后使用新添加的用户登录console,访问、修改、添加数据。

    也可以直接在1.4.1进行hotfix。

    https://github.com/alibaba/nacos/releases/tag/1.4.1
    

    ——参考链接

    2023-11-30 16:36:09
    赞同 展开评论 打赏
  • 北京阿里云ACE会长

    Nacos 1.4.1 的具体漏洞情况需要根据实际漏洞报告来确定。一般情况下,如果存在安全漏洞,建议及时升级到最新版本,因为新版本通常会修复旧版本中的漏洞。
    除了升级版本,还可以采取其他安全措施来保护 Nacos 系统,例如:

    1. 配置安全组策略,限制访问 Nacos 服务器的 IP 地址或 IP 地址范围。
    2. 开启 Nacos 服务器的审计功能,记录访问日志和操作日志。
    3. 使用加密技术,保护 Nacos 服务器的敏感数据。
    4. 定期备份 Nacos 数据,以便在系统出现问题时能够快速恢复数据。
      关于 Nacos 1.4.2 版本是否会有相同漏洞,需要看具体漏洞的性质和影响范围。
    2023-11-25 22:19:03
    赞同 展开评论 打赏

阿里云拥有国内全面的云原生产品技术以及大规模的云原生应用实践,通过全面容器化、核心技术互联网化、应用 Serverless 化三大范式,助力制造业企业高效上云,实现系统稳定、应用敏捷智能。拥抱云原生,让创新无处不在。

相关电子书

更多
Nacos架构&原理 立即下载
workshop专场-微服务专场-开发者动手实践营-微服务-使用Nacos进行服务的动态发现和流量调度 立即下载
Nacos 启航,发布第一个版本, 云原生时代助力用户微服务平台建设 立即下载