Nacos 1.4.1 紧急升级修复Alibaba Nacos 认证绕过漏洞

Nacos 1.4.1发布紧急修复了一个认证绕过漏洞,该漏洞可能导致攻击者绕过鉴权访问任意http接口。升级至最新版本可解决此问题。此次更新还包含了IPv6支持、服务列表API改进、配置项增强等功能,同时对代码进行了重构和错误修复,增强了系统安全性。
摘要由CSDN通过智能技术生成

使用背景

Nacos是Spring Cloud Alibaba的微服务的配置和发现的组件,目前暴露出安全漏洞,主要包括如下:
根据Nacos官方在github发布的issue,Alibaba Nacos存在一处认证绕过漏洞。由于对User-Agent字段判断规则不完善,Nacos开启鉴权后攻击者仍可以绕过鉴权访问任意http接口,从而进行访问用户列表、添加用户等任意操作,风险极大。

官方紧急修复

用户升级至Nacos 1.4.1版本后即可解决此问题。

特征

-[ #978 ]支持IPv6。
-[ #3917 ]在服务详细信息页面中添加元数据过滤器。
-[ #4132 ]服务列表API参数groupName支持’*’,以获取所有组serviceName。
-[ #4670 ]支持CSharp客户端的Udp推送。

增强功能

-[ #3607 ] [ #4078 ] [ #4170 ]可以配置数据源池配置。
-[ #3832 ]当nacos服务器无法启动时,关闭所有http客户端。
-[ #3907 ]当publishConfig时,如果类型不存在,则设置默认值’text’。
-[ #4066 ]使serviceNameList遵循字符串顺序。
-[ #4090 ]配置文件更改不会生效。
-[ #4286 ]当auth打开时,使用资源解析器缓存来解析资源。
-[ #4291 ]在独立模式下,服务模块不会启用Raft协议。
-[ &#x

评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值