使用背景
Nacos是Spring Cloud Alibaba的微服务的配置和发现的组件,目前暴露出安全漏洞,主要包括如下:
根据Nacos官方在github发布的issue,Alibaba Nacos存在一处认证绕过漏洞。由于对User-Agent字段判断规则不完善,Nacos开启鉴权后攻击者仍可以绕过鉴权访问任意http接口,从而进行访问用户列表、添加用户等任意操作,风险极大。
官方紧急修复
用户升级至Nacos 1.4.1版本后即可解决此问题。
特征
-[ #978 ]支持IPv6。
-[ #3917 ]在服务详细信息页面中添加元数据过滤器。
-[ #4132 ]服务列表API参数groupName支持’*’,以获取所有组serviceName。
-[ #4670 ]支持CSharp客户端的Udp推送。
增强功能
-[ #3607 ] [ #4078 ] [ #4170 ]可以配置数据源池配置。
-[ #3832 ]当nacos服务器无法启动时,关闭所有http客户端。
-[ #3907 ]当publishConfig时,如果类型不存在,则设置默认值’text’。
-[ #4066 ]使serviceNameList遵循字符串顺序。
-[ #4090 ]配置文件更改不会生效。
-[ #4286 ]当auth打开时,使用资源解析器缓存来解析资源。
-[ #4291 ]在独立模式下,服务模块不会启用Raft协议。
-[ &#x