nacos2.0升级至nacos2.2.3安全漏洞修复

最新推荐文章于 2023-09-11 17:44:07 发布
最新推荐文章于 2023-09-11 17:44:07 发布
阅读量554 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fsckzyly/article/details/134075967
版权

背景

安全漏洞修复

升级

注意事项

近期Nacos社区收到关于Nacos鉴权功能通过token.secret.key默认值进行撞击,绕过身份验证安全漏洞的问题。社区在2.2.0.1和1.4.5版本已移除了自带的默认值,并在token.secret.key未传入或非法时阻止Nacos节点启动来提醒用户设置自定义token.secret.key。考虑到现在的控制台登陆页面并没有进行模块化,无法和是否开启鉴权功能关联,因此暂时需要强制设置token.secret.key,社区正在进行控制台登陆页面和鉴权功能的关联,待完成后,未开启鉴权的集群将不再强制需要token.secret.key开启后仍然强制需要。

https://nacos.io/zh-cn/blog/announcement-token-secret-key.html

人话:原来默认 token.secret.key 及 server.identity 有风险,需要修改。

如何开启鉴权及自定义密钥:

修改 application.properties

nacos.core.auth.system.type=nacos
nacos.core.auth.enabled=true
#自定义密钥时,推荐将配置项设置为Base64编码的字符串,且原始密钥长度不得低于32字符。
# 生成一个32位以上的密钥,然后base64加密
nacos.core.auth.plugin.nacos.token.secret.key=123456
nacos.core.auth.server.identity.key=456789
nacos.core.auth.server.identity.value=456789

为保证用户敏感配置数据的安全,Nacos 提供了配置加密的新特性。降低了用户使用的风险,也不需要再对配置进行单独的加密处理。

https://nacos.io/zh-cn/docs/v2/plugin/config-encryption-plugin.html

人话:数据库要加东西,官方只提供了一条,但 github 上的 issue https://github.com/alibaba/nacos/issues/8559 有 3条

ALTER TABLE config_info ADD encrypted_data_key TEXT NOT NULL COMMENT '秘钥';
ALTER TABLE config_info_beta ADD encrypted_data_key TEXT NOT NULL COMMENT '秘钥';
ALTER TABLE his_config_info ADD encrypted_data_key TEXT NOT NULL COMMENT '秘钥';

修改token.secret.key并重启Nacos Server端后,来自Nacos Client的请求将会因无效token被拒绝。直到客户端到达旧token的TTL时间后,才会重新去获取新token。

https://nacos.io/zh-cn/blog/announcement-token-secret-key.html

人话:要把使用旧token的连接尽快过期,不然会影响业务

# 2.1.0版本及更高版本
nacos.core.auth.plugin.nacos.token.expire.seconds=5

默认的过期时间为18000,设置为5s以后,要运行18000s即5个小时以后,再改回18000。

重启集群。

升级步骤

  1. 将旧的 nacos 过期时间修改为 5s,重启nacos。
sed -i '/nacos.core.auth.default.token.expire.seconds/ s/18000/5/' /data/nacos/conf/application.properties
cd /data/nacos/bin
./shutdown.sh
./startup.sh

5个小时后

  1. 备份旧的nacos
./shutdown.sh
mv /data/nacos.bak
  1. 数据库插入的由dba执行
  1. 下载 nacos-server-2.2.3.tar.gz ,github 下不动的话可以用 https://ghproxy.com/ 这个代理下载。

编辑 application.properties

最后的配置文件如下:

server.servlet.contextPath=/nacos
server.error.include-message=ALWAYS
server.port=8848
spring.datasource.platform=mysql
db.num=1
db.url.0=jdbc:mysql://192.168.1.2:3306/nacos_config?characterEncoding=utf8&connectTimeout=1000&socketTimeout=3000&autoReconnect=true&useUnicode=true&useSSL=false&serverTimezone=UTC
db.user.0=nacos_config
db.password.0=123456
db.pool.config.connectionTimeout=30000
db.pool.config.validationTimeout=10000
db.pool.config.maximumPoolSize=20
db.pool.config.minimumIdle=2
management.metrics.export.elastic.enabled=false
management.metrics.export.influx.enabled=false
server.tomcat.accesslog.enabled=true
server.tomcat.accesslog.pattern=%h %l %u %t "%r" %s %b %D %{User-Agent}i %{Request-Source}i
server.tomcat.basedir=file:.
nacos.security.ignore.urls=/,/error,/**/*.css,/**/*.js,/**/*.html,/**/*.map,/**/*.svg,/**/*.png,/**/*.ico,/console-ui/public/**,/v1/auth/**,/v1/console/health/**,/actuator/**,/v1/console/server/**
nacos.core.auth.system.type=nacos
nacos.core.auth.enabled=true
nacos.core.auth.caching.enabled=true
nacos.core.auth.enable.userAgentAuthWhite=false
nacos.core.auth.server.identity.key=123456
nacos.core.auth.server.identity.value=123456
nacos.core.auth.plugin.nacos.token.cache.enable=false
nacos.core.auth.plugin.nacos.token.expire.seconds=18000
nacos.core.auth.plugin.nacos.token.secret.key=123456
nacos.istio.mcp.server.enabled=false

cluster.conf

192.168.96.223:8848
192.168.96.241:8848
192.168.96.82:8848

压缩配置好的nacos,分发到其他nacos服务器,启动即可。

回滚

恢复旧有的 nacos。

mv /data/nacos.bak /data/nacos
./startup.sh
海口-熟练工
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
nacos 2.2.3版本
06-29
升级nacos 2.2.3 修复之前版本漏洞
JeecgBoot 升级 Nacos2.2.3 版本解决 raft 漏洞问题
JEECG官方博客
07-14 1753
JeecgBoot 升级 Nacos2.2.3 版本解决 raft 漏洞问题
Docker 部署升级 Nacos2.2.3 版本解决 raft 漏洞问题
小康子的博客
06-13 6458
nacos 老版本发现有 raft 漏洞,直接升级最新版 2.2.3 解决问题。在原部署参数基础上增加以下三个环境变量。使用以下命令从老版本服务中获取。启动新版 nacos 容器即可。更新原数据库三个表的字段。获取方式参考下面链接。
Nacos升级2.2.3 解决Jraft Hessian反序列漏洞
l_mmf的博客
09-11 838
升级NacosNacos升级2.2.3 解决Jraft Hessian反序列漏洞。
nacos2.2.3版本安装
w757227129的博客
08-22 1515
威胁情报组收到事件情报,部分单位发现Nacos存在权限认证绕过的Nday漏洞(CVE-2021-29441),据在野验证,该漏洞在Nacos版本2.0.4及之前可复现。
nacos-server2.2.3 docker镜像
06-02
目前docker官网最新版没有2.2.3,这是自己用的镜像 使用命令 docker load<nacos-server_2.2.3.tar 即可载入镜像
Nacos官网下载慢?试试这个(2.2.3版)
06-27
Nacos官网下载慢?试试这个(2.2.3版)
nacos-2.2.3资源下载
07-10
nacos-2.2.3压缩包
Nacosnacos-2.2.3)
06-01
文件内容: nacos-server-2.2.3.tar.gz nacos-server-2.2.3.zip nacos-2.2.3.tar.gz nacos-2.2.3.zip
node-v0.10.31-sunos-x86.tar.gz
05-16
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
node-v0.10.44-linux-x86.tar.gz
05-16
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
30KW三相PFC充电桩充电模块项目开发设计方案CCS源码AD原理图bom测试报告
05-16
30KW三相PFC充电桩项目开发设计方案CCS源码AD原理图bom测试报告
node-v0.10.32-x64.msi
05-16
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
JAVA五子棋手机网络对战游戏的设计与实现(源代码+LW).zip
05-16
JAVA五子棋手机网络对战游戏的设计与实现(源代码+LW)JAVA五子棋手机网络对战游戏的设计与实现(源代码+LW)JAVA五子棋手机网络对战游戏的设计与实现(源代码+LW)JAVA五子棋手机网络对战游戏的设计与实现(源代码+LW)JAVA五子棋手机网络对战游戏的设计与实现(源代码+LW)JAVA五子棋手机网络对战游戏的设计与实现(源代码+LW)JAVA五子棋手机网络对战游戏的设计与实现(源代码+LW)JAVA五子棋手机网络对战游戏的设计与实现(源代码+LW)JAVA五子棋手机网络对战游戏的设计与实现(源代码+LW)JAVA五子棋手机网络对战游戏的设计与实现(源代码+LW)
人工智能+深度学习+卷积神经网络精细解读+整理版
05-16
【项目资源】:汇聚了云计算、区块链、网络安全、前端设计、后端架构、UI/UX设计、游戏开发、移动应用开发、虚拟现实(VR)、增强现实(AR)、3D建模与渲染、云计算服务、网络安全工具等各类技术项目的素材和模板。包括AWS、Azure、Docker、Kubernetes、React、Vue、Angular、Node.js、Django、Flask、Unity、Unreal Engine、Blender、Sketch、Figma、Wireshark、Nmap等项目的素材和模板。【项目质量】:所有素材和模板都经过精心筛选和整理,确保满足专业标准。在发布前,我们已经对功能进行了全面测试,确保其稳定性和可用性。【适用人群】:适合对技术充满热情的初学者、希望提升专业技能的中级开发者、以及寻求创新解决方案的高级工程师。无论是个人项目、团队合作、课程设计还是商业应用,都能在这里找到合适的资源。【附加价值】:这些项目资源不仅具有很高的学习价值,而且能够直接应用于实际项目中,提高开发效率。对于有志于深入研究或拓展新领域的人来说,它们提供了丰富的灵感和基础框架,帮助你快速构建出令人惊艳的作品。
node-v0.12.16-linux-x64.tar.xz
05-16
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
node-v0.10.14-x86.msi
05-16
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
Hnase课程-概念资料
最新发布
05-16
Hnase课程-概念资料
nacos2.1.1升级2.2.3
06-07
Nacos 2.1.1 升级2.2.3 版本,您可以按照以下步骤进行操作: 1. 备份 Nacos 2.1.1 的配置和数据,以防意外情况发生。 2. 下载 Nacos 2.2.3 版本,可以从 Nacos 官网上下载。 3. 停止 Nacos 2.1.1 的服务。 4. 将 Nacos 2.2.3 版本解压到相应的目录下。 5. 将备份的配置文件和数据文件复制到 Nacos 2.2.3 目录下。 6. 修改 Nacos 2.2.3 版本的配置文件,确保与原先的配置文件中的配置一致。如果有新的配置项,需要手动添加到配置文件中。 7. 启动 Nacos 2.2.3 版本的服务。 8. 验证新版本的 Nacos 是否正常工作,可以通过访问 Nacos 的 web 界面或者使用相关 API 接口进行测试。 需要注意的是,在升级过程中,需要确保新版本的 Nacos 与旧版本的 Nacos 所需的 JDK 版本一致,否则可能会导致升级不成功。另外,如果使用了 Nacos 的插件或者扩展功能,也需要确保新版本的 Nacos 支持这些插件或者扩展功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

海口-熟练工

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值