Nacos 1.4.1 紧急升级修复Alibaba Nacos 认证绕过漏洞

最新推荐文章于 2024-03-20 16:35:58 发布
最新推荐文章于 2024-03-20 16:35:58 发布
阅读量6.7k 收藏
点赞数
分类专栏: 微服务 文章标签: nacos 认证绕过漏洞 nacos 1.4.1 matecloud matecloud-pro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bufegar0/article/details/112640835
版权

使用背景

Nacos是Spring Cloud Alibaba的微服务的配置和发现的组件,目前暴露出安全漏洞,主要包括如下:
根据Nacos官方在github发布的issue,Alibaba Nacos存在一处认证绕过漏洞。由于对User-Agent字段判断规则不完善,Nacos开启鉴权后攻击者仍可以绕过鉴权访问任意http接口,从而进行访问用户列表、添加用户等任意操作,风险极大。

官方紧急修复

用户升级至Nacos 1.4.1版本后即可解决此问题。

特征

-[ #978 ]支持IPv6。
-[ #3917 ]在服务详细信息页面中添加元数据过滤器。
-[ #4132 ]服务列表API参数groupName支持’*’,以获取所有组serviceName。
-[ #4670 ]支持CSharp客户端的Udp推送。

增强功能

-[ #3607 ] [ #4078 ] [ #4170 ]可以配置数据源池配置。
-[ #3832 ]当nacos服务器无法启动时,关闭所有http客户端。
-[ #3907 ]当publishConfig时,如果类型不存在,则设置默认值’text’。
-[ #4066 ]使serviceNameList遵循字符串顺序。
-[ #4090 ]配置文件更改不会生效。
-[ #4286 ]当auth打开时,使用资源解析器缓存来解析资源。
-[ #4291 ]在独立模式下,服务模块不会启用Raft协议。
-[ &#x

最低0.47元/天 解锁文章
MateCloud微服务
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
漏洞复现】Nacos Derby SQL注入漏洞
晚风不及你
04-28 1518
Nacos Derby SQL注入漏洞(CNVD-2020-67618)是一个重要的安全问题,它涉及到Nacos使用的Derby数据库存在的SQL注入风险。SQL注入是一种攻击手段,攻击者通过在应用程序的输入字段中插入恶意的SQL代码,从而能够执行未经授权的数据库操作,获取敏感信息,甚至篡改数据。
SpringCloud nacos1.4.1版本升级开启登录认证踩坑
谦竹墨客
02-24 6800
SpringCloud nacos1.4.1开启登录认证踩坑 环境:SpringCloud Greenwich.SR4 SpringBoot 2.1.1.RELEASE spring-cloud-starter-alibaba-nacos-discovery 2.1.1.RELEASE Nacos服务端版本1.4.1 背景:Nacos鉴权漏洞修复nacos服务端版本升级1.4.1的版本后,开启登录认证后,服务启动过程中,读取配置中心和注册时,都会报unknown user!的错误 ...
Nacos开启权限认证
qq_40708228的博客
02-10 7537
绿盟漏扫扫出了CVE-2021-29441这个漏洞,官网已经在1.4.1版本修复了这个漏洞,但是测试发现还是出现访问接口可以添加任意用户的问题: http://ip:8848/nacos/v1/auth/users?username=test1&password=test1 返回结果200; 查询资料后发现,nacos需要配置开启权限认证: 打开config下的application.properties配置: nacos.core.auth.caching.enabled=true 并在项目中
Nacos 存在认证绕过漏洞(CVE-2021-29441)
北方的孤夜
06-04 1578
Nacos 存在认证绕过漏洞(CVE-2021-29441)
Nacos惊现安全漏洞修复后问题仍旧存在
热门推荐
一个天秤座的架构师
01-18 2万+
你好,我是threedr3am,我发现nacos最新版本1.4.1对于User-Agent绕过安全漏洞的serverIdentity key-value修复机制,依然存在绕过问题,在nacos开启了serverIdentity的自定义key-value鉴权后,通过特殊的url构造,依然能绕过限制访问任何http接口。 通过查看该功能,需要在application.properties添加配置nacos.core.auth.enable.userAgentAuthWhite:false,才能避免User-A
Nacos Client 1.4.1 版本踩坑记录
weixin_50063960的博客
12-07 6832
Nacos Client 1.4.1 版本踩坑记录
nacos1.4.1+单机模式脚本.zip
03-11
git上的nacos1.4.1,方便网络不好的朋友下载,自己写好了单机模式启动的命令,直接双击即可启动单机模式进行测试,git地址:https://github.com/alibaba/nacos/releases
nacos-server-1.4.1
04-12
3. **lib**: 包含了Nacos运行所需的依赖库,包括Spring Boot、Alibaba的Dubbo和RocketMQ等相关组件。 4. **logs**: Nacos运行时生成的日志文件会存储在这个目录下,这对于排查问题和监控系统状态非常有帮助。 5. *...
nacos-1.4.1-Linux-最新版本CSDN下载
02-20
1.4.1版本中,它为Linux操作系统提供了专门的版本,这使得开发者可以在Linux环境下无缝地部署和使用Nacos。 1. **Nacos核心功能**: - **服务注册与发现**:Nacos作为服务注册中心,允许微服务应用在启动时向...
最新版linux nacos-server-1.4.1.tar.gz
01-15
Nacos 是一个由 Alibaba 开源的分布式服务治理和配置中心,它主要面向微服务架构,提供了服务发现、配置管理、动态配置、健康检查、流量控制等核心功能。在这个场景中,我们关注的是针对 Linux 平台的最新版 Nacos ...
nacos-server-1.4.1.zip
08-10
总结来说,"nacos-server-1.4.1.zip"是一个包含Nacos 1.4.1版本服务端的Windows版压缩包,使用7-Zip压缩,主要用于服务发现、配置管理和健康检查。解压后,可以在Windows环境中按照步骤部署和运行,享受到Nacos带来...
Nacos漏洞修复Nacos未授权访问漏洞(CVE-2021-29441)
最新发布
m0_52985087的博客
03-20 4740
但是由于配置的过于简单,并且将协商好的user-agent设置为Nacos-Server,直接硬编码在了代码里,导致了漏洞的出现。命令:curl -X GET 'http://localhost:8848/nacos/v1/auth/users?命令:curl -X GET 'http://localhost:8848/nacos/v1/auth/users?命令:curl -X GET 'http://localhost:8848/nacos/v1/console/server/state'
阿里 Nacos 惊爆安全漏洞,火速升级
hnjsjsac的博客
01-25 102
我发现nacos最新版本1.4.1对于User-Agent绕过安全漏洞的serverIdentity key-value修复机制,依然存在绕过问题,在nacos开启了serverIdent...
nacos权限绕过漏洞(nacos认证绕过安全漏洞)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-02 3349
可以看出在 1.2~1.4.0 的版本期间是存在认证绕过安全漏洞的,是因为 User-Agent 中包含了 Nacos-Server 使得认定求来自于其他服务端,从而绕过认证nacos权限绕过漏洞环境搭建 我们选择版本nacos 1.4.0来对漏洞进行复现 下载安装包后 运行startup.cmd -m standalone 需要在环境变量中设置 JAVA_HOME ,设置完环境变量后重新打开一个命令行 否则并不生效 ,启动的时候最好用管理员权限启动,否则会出现启动不成功的问题
nacos升级开启鉴权后,微服务无法连接的解决方案
localhost
08-08 5172
4.“权限控制”->“权限管理”->“添加权限”,例如为test_role角色添加xxxx命名空间的资源和读写权限。3.“权限控制”->“角色管理”->“绑定角色”,例如将test用户绑定test_role角色。spring.application.name的dataId配置,并且也没有指定鉴权账户。经检查发现是配置鉴权账户时,用的是name,没有使用username,导致覆盖了。2.登录nacos,“权限控制”->“用户列表”->“创建用户”,例如test。一、升级nacos版本,开启鉴权。
nacos 1.4.2升级nacos 2.1.1遇到的一些坑
smilehappiness的博客
04-21 2400
为了各组件更好的的兼容,最近系统进行了nacos升级, 由1.4.2升级为2.1.1,这里把遇到的一些坑做一下记录。
nacos 常见问题整理包含容器环境
日拱一卒无有尽,功不唐捐终入海
11-01 3412
nacos 常见错误。nacos/conf/cluster.conf中设置域名列表,以避免ip更改影响。Nacos2.0的gRPC端口是通过主端口的偏移量计算的,所以端口转发也需要满足偏移量。8848:这是Nacos服务器的默认端口,客户端通过此端口连接到Nacos服务器获取配置信息和服务注册信息。7848:这是Nacos服务器的集群通信端口,它主要在集群模式下使用,用于节点间的状态同步。如果服务器没有问题,检查配置是否错误。
Nacos 1.4.1注册中心源码深度解析-服务注册
MaoTongBin的专栏
03-11 764
Nacos 1.4.1注册中心源码深度解析-服务注册 服务注册 Notifier任务的执行 如何防止多节点读写并发冲突(COW 写时复制) ServiceChangeEvent事件发布 com.alibaba.nacos.naming.core.Service#onChange 我们只看下核心 --> com.alibaba.nacos.naming.core.Service#updateIPs --
nacos 1.4.1源码下载
05-12
Nacos 1.4.1源码可以从官方网站上下载。首先在浏览器中打开 https://github.com/alibaba/nacos/releases/tag/1.4.1,找到“Assets”部分,展开列表,可以看到其中一项是“Source code (zip)”。点击该链接,会下载一个zip文件,其中包含了Nacos 1.4.1的源代码。 下载完zip文件后,需要解压缩。可以使用解压缩软件,比如WinRAR或7-Zip,右键点击zip文件,选择“解压缩到当前文件夹”,即可将源代码提取出来。 解压缩后,可以通过以下步骤在本地进行编译和构建: 1. 打开命令窗口,进入解压缩后的Nacos源码目录; 2. 执行“mvn -Prelease-nacos clean install -U”,进行构建; 3. 构建成功后,在target目录下生成nacos-server和nacos-config-shading两个jar包。 综上所述,下载nacos 1.4.1源码的方法是从官方网站上下载zip文件,解压缩后使用命令行工具进行构建。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值