Nacos中下图这个漏洞哪里修复的呀?是哪个版本的呢?
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
Nacos中修复的漏洞是关于Jraft端口的反序列化漏洞,该漏洞存在于特定版本范围内,并在Nacos 2.2.3版本中得到了修复。这个漏洞主要影响了那些默认配置下对外暴露了Jraft 7848端口且版本处于1.4.0至1.4.5或2.0.0至2.2.2之间的Nacos实例。为了修复此问题,自行搭建Nacos的用户应采取以下行动:
此外,虽然MSE产品不受此漏洞影响,但为了增强安全性,MSE Nacos引擎的用户也被建议执行以下操作: - 设置公网白名单以限制访问来源。 - 升级到最新版本的MSE Nacos引擎。 - 开启鉴权功能,特别是对于基础版用户,推荐升级到专业版并启用注册中心鉴权。
另一个提及的漏洞是CVE-2021-29441,涉及权限认证绕过,该漏洞影响的是Nacos 1.2.0至1.4.0版本以及未开启服务端身份识别功能的集群。不过,MSE Nacos产品同样不受此漏洞影响。对于受此漏洞影响的自行搭建用户,建议进行版本升级并确保服务端身份识别功能已启用。
阿里云拥有国内全面的云原生产品技术以及大规模的云原生应用实践,通过全面容器化、核心技术互联网化、应用 Serverless 化三大范式,助力制造业企业高效上云,实现系统稳定、应用敏捷智能。拥抱云原生,让创新无处不在。