探索 Nacos反序列化漏洞CNVD-2023-45001

最新推荐文章于 2024-05-10 09:14:14 发布
最新推荐文章于 2024-05-10 09:14:14 发布
阅读量396 收藏 5
点赞数 5
分类专栏: 漏洞 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44002151/article/details/137979779
版权

在软件开发领域,安全漏洞是一项不容忽视的重要问题。最近,我们的安全团队发现了一个影响到我们的Nacos 2.1.0版本的反序列化漏洞,可能带来严重的安全威胁。我们已经立即采取了修复措施。本文将深入探讨这些漏洞的原理、可能造成的影响,以及修复方法。

_20240419223955.jpg

漏洞详情

  • 公开日期:2023-06-08

  • 漏洞编号:CNVD-2023-45001

  • 危害等级:高危

  • 漏洞描述:该漏洞源于 Nacos 集群处理部分 Jraft 请求时,未限制使用 hessian 进行反序列化,由于 Nacos 默认监听 7848 端口处理 Raft 协议请求,攻击者可以通过向 7848 端口发送恶意构造的数据包利用该漏洞,最终执行任意远程代码。

  • 漏洞影响产品

    1.4.0 <= Alibaba Nacos < 1.4.6 使用cluster集群模式运行

    2.0.0 <= Alibaba Nacos < 2.2.3 任意模式运行

  • 漏洞处置建议

    用户可参考如下供应商提供的安全公告获得补丁信息:

    https://github.com/alibaba/nacos/releases/tag/2.2.3/

漏洞修复方法

我们使用的是cluster 模式启动的nacos:2.1.0的版本,也是在这个漏洞的影响范围之内,我们的解决方案就是将nacos的版本升级到2.2.3。
下载地址:https://github.com/alibaba/nacos/releases/tag/2.2.3

_20240419223457.jpg

以下是官方2.2.3版本的说明:

_20240419222206.jpg

我们此次升级还是比较顺利的,数据库方面不用做任何调整,在配置文件上2.2.3和2.1.0还是有些小差异的。主要集中在鉴权参数的默认值是上。2.2.3默认是没有开启鉴权。我们只需要根据官方提供的文档,开启鉴权,然后设置鉴权的参数即可。
文档地址:https://nacos.io/zh-cn/docs/v2/guide/user/auth.html

_20240419223131.jpg

总结

安全是软件开发过程中的重中之重,漏洞修复和安全加固工作应该得到充分重视。针对 Nacos 反序列化漏洞,我们应该及时采取措施修复漏洞,保障系统的安全稳定运行。

修己xj
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
nacos配置中心nacos-server-2.2.3
08-16
nacos配置中心nacos-server-2.2.3国内镜像,解决github下载超时及无法下载等情况
NACOS搭建及相关漏洞复现
B_l_a_nk的博客
10-30 802
身份认证绕过漏洞 (QVD-2023-6271) Nacos权限认证绕过(CVE-2021-29441) 信息泄露
Nacos未授权访问漏洞复现,2024年最新网络安全基础开发入门
2401_84181309的博客
04-10 629
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
Nacos系统历史CVE漏洞的复现分析与检测
道阻且长,行则将至。
02-07 1530
本文复现、分析、总结了 Nacos 近几年的历史 CVE 漏洞,可以看到大厂发布的开源系统并非“坚不可摧”,很多看似“合理”的业务需求会成为漏洞的发源地。作为开发或运维人员,在引入开源组件或系统到自身业务系统的时候,应该持续关注其是否爆出安全漏洞,并及时升级版本、修复漏洞
Nacos升级到2.2.3 解决Jraft Hessian反序列漏洞
l_mmf的博客
09-11 832
【升级NacosNacos升级到2.2.3 解决Jraft Hessian反序列漏洞
【严重】Nacos 集群Raft反序列化漏洞
murphysec的博客
06-07 3417
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。Nacos是一个用于动态服务发现和配置以及服务管理的平台。
从0认识+识别+掌握nacos漏洞(攻防常见洞)带指纹表和利用工具
milu_Sec的博客
12-31 2265
还是按照之前的文章结构。
YAML出现严重的反序列化漏洞,谷歌TensorFlow将采用 JSON
smellycat000的专栏
09-06 1164
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士由谷歌开发的基于 Python 的开源机器学习和人工智能项目 TensorFlow 放弃对 YAML 的支持,以修复严重的代码执行漏洞。...
Fastjson反序列化漏洞
yyj1781572的博客
04-13 1813
Fastjson是阿里巴巴公司开源的一款json解析器,其性能优越,被广泛应用于各大厂商的Java项目中。fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。
Nacos身份认证权限绕过+漏洞利用工具分享
zkaqlaoniao的博客
12-26 648
单点登录是现在广泛使用的JWT的一个特性,因为它的开销很小,并且可以轻松地跨域使用。该信息可以被验证和信任,因为它是数字签名的。为了得到签名部分,你必须有编码过的header、编码过的payload、一个秘钥,签名算法是header中指定的那个,然对它们签名即可。4.复制上面得到的值,抓包修改包,添加Authorization值,发送到nacos,获取到登录成功的带有token的响应包。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。
2023 HW 必修高危漏洞集合
holyxp的博客
07-21 2938
高危风险漏洞一直是企业网络安全防护的薄弱点,也成为 HW 攻防演练期间红队的重要突破口;每年 HW 期间爆发了大量的高危风险漏洞成为红队突破网络边界防护的一把利器,很多企业因为这些高危漏洞而导致整个防御体系被突破、甚至靶标失守而遗憾出局。HW 攻防演练在即,输出HW 必修高危漏洞手册,意在帮助企业在 HW 攻防演练的前期进行自我风险排查,降低因高危漏洞而“城池失守”的风险。
nacos2.2.1 oracle数据源版
06-08
nacos2.2.1 oracle数据源版 在...工作中处理【CNVD-2023-17316】漏洞时需要对当前版本nacos进行升级,发现不存在类似的资源,故自己对原版2.2.1版本nacos进行适配开发得此版本,业务功能测试正常,符合生产环境预期效果
最新nacos-server-2.2.0下载
12-29
最新nacos-server-2.2.0版本,windows安装包
nacos-server-2.0.3 nacos-server-2.0.3 nacos-server-2.0.3
04-08
nacos-server-2.0.3
nacos-server-loongarch64-2.3.0.tar.gz
12-15
1、用龙芯 cpu 平台编译的 nacos-2.3.0; 2、适用龙芯cpu做为核心的计算机 & 服务器;
CMS垃圾回收器为什么被移除
最新发布
m0_54187478的博客
05-10 330
由于上述缺点,加上需要将资源投入到更现代垃圾回收器的开发和优化上,Oracle决定从Java 9开始标记CMS为废弃,并在后续版本中完全移除CMS。这些新的收集器旨在提供更低的停顿时间和更高的性能,同时减少配置和维护的复杂性。当它在垃圾收集周期内无法足够快地回收内存时,会退回到一种需要完全暂停所有应用线程的老年代收集模式,这与它设计的初衷相违背。:CMS使用的标记-清除算法会导致较多的内存碎片。:CMS需要更多的CPU资源来执行垃圾回收的并发阶段,而且它在运行时对系统资源的利用也较为激进。
《设计一款蓝牙热敏打印机》
唐顺才的博客
05-06 331
安卓apk用java + kotlin编写、上位机用Qt编写。主控芯片用易兆威蓝牙ic,通讯接口:蓝牙、串口、usb。
一篇文章,系统性聊聊Java注解
架构风清扬
05-06 1124
一篇文章,系统性聊聊Java注解
Nacos 集群Raft反序列化漏洞
08-18
对于 Nacos 集群中的 Raft 反序列化漏洞,我可以提供一些相关信息。请注意,我是一个 AI 助手,我的回答仅供参考,并不能保证完全准确或详尽无遗。 Nacos 是一个用于动态服务发现、配置管理和服务管理的开源项目。在 Nacos 中,Raft 是一种一致性算法,用于保证集群中的数据一致性和高可用性。 关于 Nacos 集群中的 Raft 反序列化漏洞,可能是指在 Raft 算法的实现中存在的安全漏洞。具体细节需要查阅相关安全公告或漏洞报告以获取准确信息。 为了保护 Nacos 集群免受此类漏洞的影响,建议采取以下措施: 1. 及时更新和升级:确保使用的 Nacos 版本是最新的,以便获得漏洞修复和安全增强的补丁。 2. 加强访问控制:限制访问 Nacos 集群的权限,并使用强密码和身份验证来保护集群的安全。 3. 防火墙配置:使用防火墙和网络安全策略来限制对 Nacos 集群的访问,并仅允许受信任的主机进行通信。 4. 安全审计和监控:实施安全审计和监控机制,及时检测和响应任何异常活动和攻击尝试。 5. 参考安全建议:查阅 Nacos 官方文档和安全指南,了解最佳实践和安全建议,并根据需要进行相应的配置和调整。 请注意,这些建议仅供参考,具体的安全防护措施应根据实际情况进行评估和实施。同时,及时关注 Nacos 官方发布的安全公告和更新,以获取最新的安全信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

修己xj

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值