spring 微服务nacos未授权访问漏洞修复

最新推荐文章于 2024-08-13 18:12:28 发布
最新推荐文章于 2024-08-13 18:12:28 发布
阅读量7.3k 收藏 5
点赞数 2
分类专栏: Java 文章标签: spring 微服务 java nacos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whandgdh/article/details/125332158
版权


近来,公司系统做安全渗透又被扫描出了nacos漏洞问题。报告已对漏洞进行了说明:
Nacos是一个为动态服务发现和配置以及服务管理而设计的平台。Nacos如果没有配置认证管理,攻击者可以在无需授权的情况下获取敏感信息。
公司系统使用版本为2.0.3。不支持进行认证管理,所以解决办法就是升级nacos版本到2.0.4。需要注意,升级nacos版本外,还需要调整微服中的一些配置。

1 nacos 版本升级

1.1 nacos 2.0.4下载。

nacos官网下载2.04版本。

1.2 解压

下载后上传至原来服务器,备份原有nacos。再停nacos服务。解压到原有nacos路径下,直接覆盖原有版本。

1.3 配置文件修改

修改nacos_home/application.properties。
开启权限认证。

  nacos.core.auth.enabled=true

在这里插入图片描述

1.4 nacos启动

启动nacos,在nacos/bin目录下。

  ./ startup.sh

1.5 nacos升级验证

进入nacos管理页面。看到nacos已经升级到2.0.4.
在这里插入图片描述

2 微服务升级

2.1 maven pom文件修改

将微服务中涉及nacos依赖同步进行修改。

<spring-cloud.version>Greenwich.SR4</spring-cloud.version>
<alibaba-cloud.version>2.1.1.RELEASE</alibaba-cloud.version>
<spring-boot.version>2.1.10.RELEASE</spring-boot.version>
<dependency>
    <groupId>com.alibaba.nacos</groupId>
    <artifactId>nacos-client</artifactId>
    <version>1.4.0</version>
</dependency>

修改为

<spring-cloud.version>Greenwich.SR6</spring-cloud.version>
<alibaba-cloud.version>2.1.4.RELEASE</alibaba-cloud.version>
<spring-boot.version>2.1.13.RELEASE</spring-boot.version>
<nacos-client.version>1.4.1</nacos-client.version>

<dependency>
    <groupId>com.alibaba.nacos</groupId>
    <artifactId>nacos-client</artifactId>
    <version>${nacos-client.version}</version>
</dependency>

2.2 修改bootstrap.yml

在bootstrap.yml 中添加nacos用户密码。
config 和 discovery 新增,用于权限认证的参数(用户名和密码和nacos登录的用户名密码保持一致):

		username: nacos
		password: nacos
		group: DEFAULT_GROUP

2.3 重启微服务

重启涉及nacos配置相关的微服务

菜菜的中年程序猿
关注
专栏目录
Nacos授权访问修复方案
moonlingh的博客
03-24 4425
NacosSpringCloud Alibaba 微服务架构中的一个组件,主要作用是服务注册和发现以及分布式配置管理,通常情况下 Nacos 中存储着 MySQL、Redis 等数据库的账号和密码。当前使用的版本存在用户读取、添加、登陆的漏洞
Nacos漏洞修复Nacos授权访问漏洞(CVE-2021-29441)
m0_52985087的博客
03-20 7713
但是由于配置的过于简单,并且将协商好的user-agent设置为Nacos-Server,直接硬编码在了代码里,导致了漏洞的出现。命令:curl -X GET 'http://localhost:8848/nacos/v1/auth/users?命令:curl -X GET 'http://localhost:8848/nacos/v1/auth/users?命令:curl -X GET 'http://localhost:8848/nacos/v1/console/server/state'
Nacos漏洞总结复现_nacos默认jwt密钥导致授权访问
最新发布
喜欢Python编程的程序员柚柚呀
08-13 1237
Nacos中发现影响Nacos <= 2.1.0的问题,Nacos用户使用默认JWT密钥导致授权访问漏洞。通过该漏洞,攻击者可以绕过用户名密码认证,直接登录Nacos用户。
JDK安装2023最完整教程与配置(零基础)
bdfcfff77fa的博客
06-19 1403
JDK安装2023最完整教程与配置(零基础)
Nacos授权访问复现及修复
大数据姐姐
01-22 3801
Nacos授权访问修复,开启鉴权
Nacos 授权访问漏洞
热门推荐
ljy啊虎的博客
09-07 2万+
Nacos 授权访问漏洞 /nacos/v1/auth/users?pageNo=1&pageSize=9
SpringBoot Actuator授权访问漏洞修复
jcc4261的博客
12-09 692
目前SpringBoot得框架,越来越广泛,大多数中小型企业,在开发新项目得时候。后端语言使用java得情况下,首选都会使用到SpringBoot。在很多得一些开源得框架中,例如: ruoyi若以,这些。不知道是出于什么原因?我们都会在这些框架中得pom文件中找到的依赖。嘿,这Actuator估计很多人都没有真真实实使用过,但是就会出现在pom文件中;这样导致,在做一些安全漏洞测试的时候,会出现漏洞问题。例如下面:对于这些漏洞,我们开始修复喽!!!
解决BladeX微服务Swagger资源授权访问漏洞
qq_38127559的博客
03-26 1696
客户线上环境,第三方进行安全检测时候,反馈来一个"Spring"接口授权访问漏洞
【网络安全】Nacos Client Yaml反序列化漏洞分析
HBohan的博客
10-15 5796
背景 Nacos 致力于帮助您发现、配置和管理微服务Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。 Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。 Nacos 是构建以“服务”为中心的现代应用架构 (例如微服务范式、云原生范式) 的服务基础设施。 Nacos是阿里巴巴于2018年开源的项目,目前在Github中已获得 19.8kSt,由此可见其的使用广泛程度。 授权访问漏洞 threedr3am师傅在去年十二月份的时候在Github上.
Nacos授权访问漏洞
00勇士王子的博客
02-27 6425
一般来说,nacos被建议部署在内网中,如果在外网出现,会有很大的风险。
Nacos授权访问漏洞复现
apple_52661176的博客
07-09 1317
nacos授权访问漏洞的几种姿势
修复nacos漏洞问题SQL注入CNVD-2020-67618、授权访问CVE-2021-29441等
kaopuzong的博客
02-06 2560
修复nacos漏洞问题:漏洞1:SQL注入CNVD-2020-67618 漏洞2:授权访问CVE-2021-29441 漏洞3:token.secret.key默认配置QVD-2023-6271 漏洞4:Jraft Hessian反序列化CNVD-2023-45001
Nacos授权访问漏洞(CVE-2021-29441)复现】
一纸荒芜的博客
10-26 2625
Nacos授权访问漏洞复现
nacos安全测评漏洞nacos授权访问漏洞【原理扫描】
Yang_RR的博客
05-11 2080
nacos目前使用的版本为v2.0.3,后台管理界面虽然有账号密码的登录验证,但是服务注册和读取配置没有认证配置。
Nacos 授权访问漏洞复现
weixin_58609150的博客
07-08 688
POST http://IP:端口/nacos/v1/auth/users?漏洞地址:GET http://IP:端口/nacos/v1/auth/users?输入任意密码bp抓包修改返回包即可绕过进入后台。抓包将get方式修改为post并重放。
【渗透实战】Nacos授权访问(CVE-2021-29441)
Nafia的博客
02-20 4034
Nacos授权访问漏洞挖掘记录
Nacos授权和身份认证漏洞修复
zyfmeng的博客
12-27 2709
nacos授权及弱身份认证漏洞修复
nacos授权访问漏洞 修复
07-15
对于Nacos授权访问漏洞,建议你采取以下措施进行修复: 1. 更新到最新版本:确保你使用的Nacos版本是最新的,因为最新版本通常包含了安全修复漏洞修复。 2. 配置访问控制:通过配置适当的访问控制策略,限制只有授权的用户或者IP可以访问Nacos。可以使用Nacos的权限管理功能来实现。 3. 强化认证和授权:启用强密码策略,使用复杂的密码,并定期更换密码。确保只有授权用户具有适当的权限来访问和管理Nacos。 4. 防火墙设置:配置防火墙来限制对Nacos访问,只允许来自可信源IP地址的请求。 5. 安全审计日志:启用安全审计日志功能,记录所有关键操作和访问日志。这有助于发现异常行为和及时应对潜在的安全威胁。 6. 定期备份:定期备份Nacos的数据,以防止数据丢失或损坏。备份可以帮助你在遭受攻击或数据丢失时快速恢复。 7. 安全漏洞扫描和测试:与安全团队合作,进行定期的安全漏洞扫描和安全测试,以发现并修复潜在的安全问题。 8. 及时响应:如果你发现任何安全问题或漏洞,应立即采取措施进行修复和调查。可以向Nacos官方团队报告漏洞,并升级到已修复漏洞的版本。 请记住,安全是一个持续的过程,需要不断地关注和改进。通过以上措施,你可以提高Nacos的安全性,并减少授权访问漏洞的风险。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

菜菜的中年程序猿

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值