Nacos安全漏洞如何修复和升级

最新推荐文章于 2024-07-01 13:53:20 发布
最新推荐文章于 2024-07-01 13:53:20 发布
阅读量2.5w 收藏 3
点赞数 1
分类专栏: 微服务技术栈 文章标签: nacos安全加固
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/u012921921/article/details/112792899
版权

今晚最新发布的1.4.1热修复版本已经对于User-Agent绕过安全漏洞的问题及控制台不可用的问题进行了全面的修复。对于漏洞及相关问题我不在赘述,接下来我主要讲如何进行升级加固。

 

 

 

 

一  下载最新的安装包

 

 

二 解压文件

 

解压文件到安装路径

tar -xvf /home/xxx/software/nacos-server-1.4.1.tar.gz -C /home/xxx/xxx/software/nacos

 

三 数据库升级

执行cong路径下面的schema.sql脚本进行数据库升级

 

四 修改application.properties配置文件

    1 修改数据库配置(如果是集群模式请使用集群化的配置)

### Count of DB:
db.num=1

### Connect URL of DB:
db.url.0=jdbc:mysql://127.0.0.1:3306/nacos?characterEncoding=utf8&connectTimeout=1000&socketTimeout=3000&autoReconnect=true&useUnicode=true&useSSL=false&serverTimezone=UTC
db.user.0=root
db.password.0=12345678

   2 进行安全加固

### 开启鉴权
nacos.core.auth.enabled=true
### 关闭使用user-agent判断服务端请求并放行鉴权的功能
nacos.core.auth.enable.userAgentAuthWhite=false
### 配置自定义身份识别的key(不可为空)和value(不可为空)
nacos.core.auth.server.identity.key=xxx-identity-key
nacos.core.auth.server.identity.value=xxx-identity-value

 

         3 安全加固注意事项     

** 注意 ** 所有集群均需要配置相同的server.identity信息,否则可能导致服务端之间数据不一致或无法删除实例等问题。

考虑到旧版本用户需要升级,可以在升级期间,开启nacos.core.auth.enable.userAgentAuthWhite=true功能,待集群整体升级到1.4.1并稳定运行后,再关闭此功能。

天秤座的架构师
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
国产安全系统环境nacos arm rpm安装包
03-25
适配国产arm系统环境,解决rocksdbjni链接失败问题的nacos aarch64 rpm版本包
包含1.4.1 和 2.0.3 版本nacos
08-02
对于已有项目,升级前需要评估升级路径的平滑性和潜在风险。 总的来说,Nacos 提供了一个强大且易用的工具,帮助开发者解决分布式系统中的复杂问题,简化微服务架构的运维工作。无论是初学者还是经验丰富的开发者,...
Nacos提权漏洞修复
cc123489ll的博客
06-06 933
Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。若您Nacos未修改secret.key,则攻击者可利用默认secret.key生成JWT Token,从而造成权限绕过访问到相关API接口。Nacos 官方于 2023年3月2日发布 2.2.0.1版本。
Nacos—鉴权详解
深圳市多克创新科技有限公司
10-30 8654
Nacos—鉴权
nacos 添加鉴权
最新发布
wolf23151269的博客
07-01 1515
开启鉴权之后,你可以自定义用于生成JWT令牌的密钥,application.properties中的配置信息为:文档中提供的密钥为公开密钥,在实际部署时请更换为其他密钥内容,防止密钥泄漏导致安全风险。在2.2.0.1版本后,社区发布版本将移除以文档如下值作为默认值,需要自行填充,否则无法启动节点。密钥需要保持节点间一致,长时间不一致可能导致403 invalid token错误。### 2.1.0 版本后自定义密钥时,推荐将配置项设置为Base64编码的字符串,且原始密钥长度不得低于32字符。
Nacos出现重大安全漏洞,开源项目险遭脱库
qq_17831715的博客
01-17 2118
前言 大家好,我是陌溪 昨天陌溪在蘑菇博客交流群和群里的小伙伴进行了一场比较激烈的讨论,主要是关于Nacos中一个绕过安全认证直接获取微服务项目的配置文件的安全漏洞。 截止到昨天为止,该issue已经有50条评论。下面是该issue的地址,感兴趣的小伙伴可以跳转进行查看。 https://github.com/alibaba/nacos/issues/4593 漏洞起源 可能有些小伙伴还不太清楚Nacos是啥,它是SpringCloudAlibaba微服务架构...
Nacos2.0.3部署记录
FrankenFunc的博客
12-24 1082
###部署环境 Nacos官方文档入口 Nacos采用StatefulSet部署方式,集群部署,使用外部数据库作为数据持久化。 部署集群:阿里云k8s ywy-prod-1.18.8-aliyun.1 namespace:default nacos:2.0.3 MySQL:8.0/5.7 域名:http://nacos.xxx.com.cn/nacos ###SVC文件 apiVersion: v1 kind: Service metadata: name: nacos-headless lab
nacos开启鉴权功能
qq_71416673的博客
04-22 1457
在之前的案例中部署好Nacos服务端后,默认没有开启鉴权,直接不用登录就能访问控制台,也能直接注册服务,存在很大的安全风险。之前也爆过Nacos权限认证绕过漏洞(NacosNacos是一个内部微服务组件,需要在可信的内部网络中运行,不可暴露在公网环境,防止带来安全风险。Nacos提供简单的鉴权实现,为防止业务错用的弱鉴权体系,不是防止恶意攻击的强鉴权体系。如果运行在不可信的网络环境或者有强鉴权诉求,请参考官方简单实现进行自定义插件开发。接下来我们使用Nacos
Nacos安全漏洞修复方案:保护您的应用服务
修己xj的博客
06-16 2537
尊敬的家人们,大家好!在过去的几年中,Nacos作为阿里巴巴推出的一项开源项目,为云原生应用的构建和管理提供了许多便利。然而,最近发现了一个安全漏洞,该漏洞可能导致未经授权的用户获取到敏感信息。为了确保您的应用程序的安全性,我们将在本文中向您介绍修复Nacos漏洞的方案
Nacos2.2.2增加鉴权配置,防止NACOS身份登陆绕过漏洞
06-04
Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service的首字母简称,一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。 Nacos 致力于帮助您发现、配置和管理微服务。Nacos 提供了一组...
nacos 2.2.3版本
06-29
Nacos 2.2.3版本中,重点是修复了之前版本存在的安全漏洞和性能问题,以提高系统的稳定性和安全性。 首先,让我们深入了解Nacos的核心功能: 1. **服务发现**:Nacos作为一个服务中心,可以让服务提供者注册自己...
nacos:Nacos是服务配置和发现
04-09
## kratosv2 nacos 例子 package server import ( "github.com/nacos-group/nacos-sdk-go/clients" "github.com/nacos-group/nacos-sdk-go/clients/naming_client" "github....
修复nacos未授权建账号漏洞
雅冰石的专栏
08-04 3448
发现直接调用如下接口可以增删用户,改用户密码,不安全。
nacos入门使用
paditang的博客
03-06 1154
nacos入门使用 前言 在当前微服务火爆的今天,在zookeeper,spring cloud,nacos选型之后,决定使用nacos作为微服务注册和管理的方案。因此从本文开始,介绍ncos的基本使用。 另nacos作为阿里巴巴提供的服务,中文文档是有提供,建议以官方文档为主。因为阅读文档时发现有部分描述不清晰,因此便有本文。 本文以SpringBoot和Nacos框架,linux为环境示例分别讲述nacos服务创建,nacos配置发布,nacos服务发布和管理。 nacos官方文档 正文 ncaos服务
安装nacos-2.3.1版本注意事项
qq_21526409的博客
03-21 399
修改application.properties配置文件里面的内容。nacos默认端口是8848,运行如下命令开放8848端口。
Alibaba Nacos权限认证绕过漏洞复现
逍遥小哥的博客
07-18 6407
是一个易于使用的平台,旨在用于动态服务发现,配置和服务管理。它可以帮助您轻松构建云本机应用程序和。2020年12月29日,Nacos官方在github发布的issue中披露Alibaba Nacos 存在一个由于不当处理User-Agent导致的未授权访问漏洞。通过该漏洞,攻击者可以进行任意操作,包括创建新用户并进行登录后操作。为什么会产生这个漏洞?1.认证授权操作时,会判断请求的user-agent是否为”Nacos-Server”,如果是的话则不进行任何认证。
nacos登陆鉴权
tlqwanttolearnit的博客
06-01 5253
开启鉴权之后,可以自定义用于生成JWT令牌的密钥,默认为空。自定义密钥时,推荐将配置项设置为Base64编码的字符串,且原始密钥长度不得低于32字符。在2.2.0.1版本后,社区发布版本将移除以文档如下值作为默认值,需要自行填充,否则无法启动节点。密钥需要保持节点间一致,长时间不一致可能导致403 invalid token错误。
Nacos升级到2.2.1
shenzaibankong的专栏
03-29 1927
因为NVDB-CNVDB-2023674205漏洞,客户要求对Nacos进行安全加固Nacos 是一款构建云原生应用的服务管理平台,其在默认配置下未对密钥进行修改,导致攻击者可以绕过密钥认证进入后台,造成系统受控等后果。具体表现为,在application.properties文件中的配置项具有默认值,而多数用户不修改导致。理论上,Nacos作为私域应用,不面向互联网开放,该漏洞可以无视。但客户就是上帝,上帝的话不得不听。
如何修复nacos的漏洞
05-31
如果你发现了Nacos的漏洞,可以按照以下步骤进行修复: 1. 首先,你需要确认你使用的是最新版本的Nacos。在Nacos官方网站上可以查看到最新版本。 2. 如果你使用的是旧版本的Nacos,可以通过升级到最新版本来修复已知的漏洞。 3. 如果你发现了新的漏洞,可以向Nacos官方报告漏洞,他们会尽快修复漏洞并发布新的版本。你也可以自己修复漏洞并提交代码到Nacos的GitHub仓库上。 4. 在升级到新版本之前,你可以采取一些措施来减轻漏洞的影响。例如,你可以限制Nacos的访问权限、关闭不必要的服务或端口等。 总之,及时升级到最新版本、报告漏洞并限制访问权限是保护Nacos安全的有效方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

天秤座的架构师

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值