【问题解决】Nacos服务端NVDB-CNVDB-2023674205漏洞

最新推荐文章于 2024-04-19 22:45:01 发布
最新推荐文章于 2024-04-19 22:45:01 发布
阅读量2.8k 收藏
点赞数 1
分类专栏: 信息安全 问题解决 文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012586326/article/details/129496783
版权

缘起

最近(2023.03.13)客户现场要求自检有无使用Nacos,原因是Nacos存在认证绕过高危漏洞,其漏洞代码NVDB-CNVDB-2023674205,本文就简单说一下这个事儿,以及如何解决这个问题。

以下内容中,Nacos服务端A简称A,Nacos服务端B简称B。

问题现象

可以使用已知账号密码的A的登录响应体,替换未知密码的B登录响应体来绕过认证,进入B后台。

影响范围:<=2.2.0

问题原因

Nacos使用JWT生成密钥,同样的JWT生成key会导致A的token可以给B使用。

解决办法

方法一、修改生成token的key

Nacos提供了修改默认JWT token生成key的配置项:

#启用认证
nacos.core.auth.enabled=true
#生成token的密钥
nacos.core.auth.plugin.nacos.token.secret.key=BASE64编码

推荐自定义密钥时,推荐将配置项设置为Base64编码的字符串,且原始密钥长度不得低于32字符

方法二、升级到2.2.0.1及以后版本

目前Nacos官方在2023.03.02发布了2.2.0.1,下载地址:https://github.com/alibaba/nacos/releases/tag/2.2.0.1

以后更近版本参见:https://github.com/alibaba/nacos/releases

方法三、容器环境处理方式

对于容器环境则将 NACOS_AUTH_ENABLE=trueNACOS_AUTH_TOKEN=BASE64编码 作为环境变量传入即可。

参考引用:

  • https://github.com/alibaba/nacos/issues/7127
  • https://github.com/alibaba/nacos/issues/9744
  • https://github.com/alibaba/nacos/issues/10060
  • https://nacos.io/zh-cn/blog/announcement-token-secret-key.html
  • https://nacos.io/zh-cn/docs/v2/guide/user/auth.html
东北小狐狸-Hellxz
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
NVD软件漏洞数据处理及分类方法总结
Asia-Lee
07-16 5584
目录 一、前言 二、软件漏洞数据分析 三、软件漏洞分类实验流程 四、软件漏洞文本预处理 五、软件漏洞文本表示方法 六、软件漏洞分类模型构建 七、软件漏洞分类实验结果与分析 八、总结 一、前言 本人研究生期间的研究主方向为:网络空间安全方向,基于研究方向做过入侵检测实验、软件缺陷分类实验、软件安全漏洞分类管理实验等,网络安全方向相关数据集可参看个人总结:网络安全相关数据集介绍与下...
nacos配置中心nacos-server-2.2.3
08-16
nacos配置中心nacos-server-2.2.3国内镜像,解决github下载超时及无法下载等情况
Nacos身份认证绕过漏洞(QVD-2023-6271)
qq_50854662的博客
03-20 1万+
漏洞原理为开源服务管理平台 Nacos在默认配置下未对 token.secret.key 进行修改,导致远程攻击者可以绕过密钥认证进入后台造成系统受控等后果。
sx:快速强大易于使用的现代化网络扫描器
m0_59598029的博客
08-02 85
运行速度比Nmap要快30倍;ARP扫描:支持扫描本地网络以检测活动设备;ICMP扫描:使用高级ICMP扫描技术来检测活动主机和防火墙规则;TCP SYN扫描:传统半开放扫描以查找开放TCP端口;TCP FIN/NULL/XMAS扫描:扫描某些防火墙绕过技术;自定义TCP扫描:发送任意形式数据包,并获得回复数据包中设置的所有TCP标志的结果;UDP扫描:扫描UDP端口并获取全部ICMP响应,以检测开放端口和防火墙规则;
探索 Nacos反序列化漏洞CNVD-2023-45001
最新发布
修己xj的博客
04-19 459
安全是软件开发过程中的重中之重,漏洞修复和安全加固工作应该得到充分重视。针对 Nacos 反序列化漏洞,我们应该及时采取措施修复漏洞,保障系统的安全稳定运行。
Nacos身份绕过漏洞复现(QVD-2023-6271)
xinpz的博客
09-19 608
Nacos身份绕过漏洞复现(QVD-2023-6271)
查看漏洞库的地址总结
guanjian_ci的博客
03-12 2055
1、CNNVD(国家信息安全漏洞库):http://www.cnnvd.org.cn/ 2、CNVD(国家信息安全漏洞共享平台):https://www.cnvd.org.cn/ 3、乌云:http://wooyun.2xss.cc/ 4、VULHUB(信息安全漏洞门户):http://vulhub.org.cn/view/global 5、安全客(全球最新漏洞库):https://www.anquanke.com/vul/ 6、绿盟漏洞库:http://www.nsfocus.net/index.php?
Nacos升级到2.2.1
shenzaibankong的专栏
03-29 1876
因为NVDB-CNVDB-2023674205漏洞,客户要求对Nacos进行安全加固。Nacos 是一款构建云原生应用的服务管理平台,其在默认配置下未对密钥进行修改,导致攻击者可以绕过密钥认证进入后台,造成系统受控等后果。具体表现为,在application.properties文件中的配置项具有默认值,而多数用户不修改导致。理论上,Nacos作为私域应用,不面向互联网开放,该漏洞可以无视。但客户就是上帝,上帝的话不得不听。
浅谈漏洞来源(CVE,NVD,CNVD,CNNVD)
热门推荐
TT成长博客
02-23 2万+
网络安全人士可能会问这样一个问题,安全漏洞是哪里来的,什么渠道,可靠吗。那么多的安全产品,他们的漏洞库都是自己整理的吗?(怎么可能撒),虽然各安全厂商都搞自己的威胁情报中心,但是威胁情报除了自研的,很多还是靠类似公益的机构来支持,比如业界大家都知道的几个平台,我们就简单和大家掰扯掰扯吧。
最新nacos-server-2.2.0下载
12-29
最新nacos-server-2.2.0版本,windows安装包
nacos-server-2.1.1.tar.gz
08-16
nacos-server-2.1.1.tar.gz
nvdb_qgis_plugin
03-09
nvdb_qgis_plugin
nvdb-visrute
05-26
nvdb-visrute 一个简单的Web应用程序,用于显示从NVDB-LESEAPI其余部分开始的路由清除。 它在github页面上的此URL上运行: :
nacos-server-2.1.1.
08-12
nacos-server-2.1.1.zip
nacos-server-1.4.2.zip windows
05-02
nacos nacos-server SpringCloud Alibaba 微服务
NACOS搭建及相关漏洞复现
B_l_a_nk的博客
10-30 903
身份认证绕过漏洞 (QVD-2023-6271) Nacos权限认证绕过(CVE-2021-29441) 信息泄露
关于H3C路由器漏洞的情况说明
weixin_44106034的博客
10-19 2233
ER3108G-CN,ER3108GW-CN,ER2100-CN,ER2100V2,ER2100n,ER2210C-CN,ER3100-CN,ER3260-CN,ER5100-CN,ER5200-CN,ER6300-CN,ER8300-CN,ER3200-CN已停止维护。H3C MC101/MC102/MC500/H100/H100-EI/H200/H200-EI、H3C X3路由器、H3C Magic R1/R100/B1/B0/B3/M2都已经停止维护。
WuThreat身份安全云-TVD每日漏洞情报-2023-03-15
wuthreat无胁科技的博客
03-17 902
参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?漏洞编号:CVE-2023-23397。漏洞编号:CVE-2023-24880。
【网络安全】漏洞信息查询网站
Walter的专栏
12-18 2948
sebug:带poc代码:http://sebug.net/vuldb/ssvid-87304 CVE:http://cve.scap.org.cn/ NVD:https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160 CNVD: http://www.cnvd.org.cn/ CNNVD:http://www.cnvd.o
nacos-server-2.2.0zip
09-09
nacos-server-2.2.0.zip是一个开源的注册中心和配置中心的集群版本。Nacos是阿里巴巴开源的一款服务发现和配置管理工具,它能够帮助我们实现动态服务发现、服务配置与服务元数据管理。nacos-server-2.2.0.zip是Nacos的2.2.0版本的发布包。 通过下载nacos-server-2.2.0.zip,我们可以得到Nacos服务端的安装包。安装nacos-server之后,我们可以运行Nacos的集群,实现高可用和负载均衡。Nacos支持集群模式下的多个节点,节点之间可以进行注册同步、配置同步和心跳检测等操作。 使用nacos-server-2.2.0.zip,我们可以搭建自己的Nacos服务端环境。首先,我们需要下载并解压该安装包。然后,配置Nacos的相关参数,如数据库连接、集群节点等。接着,我们可以启动Nacos服务。一旦Nacos服务启动成功,我们就可以通过Nacos的Web界面进行服务注册、配置管理等操作。 nacos-server-2.2.0.zip提供了一个便捷的方式来搭建自己的Nacos服务集群。通过使用Nacos,我们可以更加方便地管理我们的服务注册和配置,支持动态更新和变更。这对于云原生应用的开发和部署非常有帮助,能够提高开发效率和系统可靠性。 总之,nacos-server-2.2.0.zip是Nacos的2.2.0版本的发布包,可以用于搭建自己的Nacos服务端环境,实现服务注册、配置管理等功能。通过使用Nacos,我们可以更好地支持云原生应用的开发和部署。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

东北小狐狸-Hellxz

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值