JeecgBoot 升级 Nacos 至 2.2.3 版本解决 raft 漏洞问题

已于 2023-07-14 22:58:01 修改
阅读量1.8k 收藏 1
点赞数
文章标签: 开源项目 微服务
于 2023-07-14 19:47:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangdaiscott/article/details/131730495
版权

问题描述

Nacos 老版本发现有 raft 漏洞,直接升级最新版 2.2.3 解决问题。

升级步骤

一、修改pom

  • 路径:jeecg-server-cloud/jeecg-cloud-nacos/pom.xml
  • 目前新依赖还未上传到maven官仓,请配置 jeecg私服
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <artifactId>jeecg-cloud-nacos</artifactId>
    <name>jeecg-cloud-nacos</name>
    <description>nacos启动模块</description>
    <version>3.5.2</version>

    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.6.14</version>
        <relativePath/>
    </parent>

    <repositories>
        <repository>
            <id>aliyun</id>
            <name>aliyun Repository</name>
            <url>https://maven.aliyun.com/repository/public</url>
            <snapshots>
                <enabled>false</enabled>
            </snapshots>
        </repository>
        <repository>
            <id>jeecg</id>
            <name>jeecg Repository</name>
            <url>https://maven.jeecg.org/nexus/content/repositories/jeecg</url>
            <snapshots>
                <enabled>false</enabled>
            </snapshots>
        </repository>
    </repositories>

    <properties>
        <log4j2.version>2.17.0</log4j2.version>
    </properties>
    
    <dependencies>
        <dependency>
            <groupId>org.apache.tomcat.embed</groupId>
            <artifactId>tomcat-embed-jasper</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.jeecgframework.nacos</groupId>
            <artifactId>nacos-naming</artifactId>
            <version>2.2.3</version>
        </dependency>
        <dependency>
            <groupId>org.jeecgframework.nacos</groupId>
            <artifactId>nacos-istio</artifactId>
            <version>2.2.3</version>
        </dependency>
        <dependency>
            <groupId>org.jeecgframework.nacos</groupId>
            <artifactId>nacos-config</artifactId>
            <version>2.2.3</version>
        </dependency>
        <dependency>
            <groupId>org.jeecgframework.nacos</groupId>
            <artifactId>nacos-console</artifactId>
            <version>2.2.3</version>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>

</project>

二、升级Nacos数据库,执行升级脚本

ALTER TABLE config_info ADD encrypted_data_key varchar(255) DEFAULT NULL COMMENT '加密key';
ALTER TABLE his_config_info ADD encrypted_data_key varchar(255) DEFAULT NULL COMMENT '加密key';
ALTER TABLE config_info_beta ADD encrypted_data_key varchar(255) DEFAULT NULL COMMENT '加密key';
ALTER TABLE config_info_tag ADD encrypted_data_key varchar(255) DEFAULT NULL COMMENT '加密key';

三、启动Nacos项目完成升级

升级完成,就这么简单。

四、漏洞说明

一、具体说明

Nacos是一个易于使用的动态服务发现、配置和服务管理平台,用于构建云原生应用程序。

近日Nacos发布更新版本,修复了一个反序列化漏洞。由于Nacos集群处理部分Jraft请求时,未限制使用hessian进行反序列化,可能导致远程代码执行。但该漏洞仅影响7848端口(默认设置下),一般使用时该端口为Nacos集群间Raft协议的通信端口,不承载客户端请求,因此可以通过禁止该端口来自Nacos集群外部的请求来进行缓解。

目前该漏洞已经修复,受影响用户可更新到Nacos 版本1.4.6或2.2.3。

二、影响范围

1.4.0<=Nacos版本<1.4.6

2.0.0<=Nacos版本<2.2.3

三、参考博客

  • http://net.jstu.edu.cn/2023/0612/c2331a165901/page.htm
  • http://www.hackdig.com/06/hack-1004954.htm
  • https://blog.csdn.net/qq12547345/article/details/131183159
  • https://blog.csdn.net/weiyangdong/article/details/131440830
JEECG低代码平台
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
Nacos2.1.0升级2.2.3版本
m0_60480457的博客
10-15 1025
Nacos2.1.0升级2.2.3版本
Nacos集群版本升级2.2.3
空山
06-28 5503
当前Nacos版本为2.1.0,集群部署与官方文档一致,通过阿里云负载均衡SLB服务挂载3台ECS提供服务,如图:近期有漏洞Nacos 内网集群Raft 反序列化漏洞披露。
jeecg启动微服务并注册到本地nacos
最新发布
weixin_60948956的博客
06-25 431
3、本地启nacos gateway 和自己想要的cloud下面的模块pos sys。4、打断点测试接口,访问gateway端口和想要测试的地址。1、maven勾选环境和微服务模式,并刷新。2、pom文件修改nacos注册地址。
nacos升级
weixin_45857120的博客
06-20 1906
nacos升级Nacos未授权访问,Nacos-JwtSecretkey-身份伪造修复,linux
nacos2.0.3升级2.2.3步骤
qq_59317626的博客
02-02 2042
中的配置项,确保数据库连接信息正确无误,特别是如果Nacos2.2.3版本中引入了新的配置项或更改了默认值。: 解压新下载的Nacos 2.2.3版本的压缩包,然后覆盖现有安装目录下的文件,但保留自定义的配置文件。: 查阅官方发布的升级文档以了解2.0.3到2.2.3之间的变更点、兼容性问题以及可能需要的迁移步骤。: 根据Nacos社区和官方文档提供的信息,解决特定版本间可能存在的已知问题或不兼容性。: 在升级之前,请先停止正在运行的Nacos服务,并将当前的数据目录(默认是。: 检查并根据需要更新。
Docker 部署升级 Nacos2.2.3 版本解决 raft 漏洞问题
小康子的博客
06-13 6806
nacos版本发现有 raft 漏洞,直接升级最新版 2.2.3 解决问题。在原部署参数基础上增加以下三个环境变量。使用以下命令从老版本服务中获取。启动新版 nacos 容器即可。更新原数据库三个表的字段。获取方式参考下面链接。
Nacos版本升级
每天都要开心呀(#^.^#)
09-21 9717
使用docker部署Nacosv2.1.0注册中心所遇到的新功能
nacos 2.2.3版本
06-29
Nacos 2.2.3版本中,重点是修复了之前版本存在的安全漏洞和性能问题,以提高系统的稳定性和安全性。 首先,让我们深入了解Nacos的核心功能: 1. **服务发现**:Nacos作为一个服务中心,可以让服务提供者注册自己...
Nacosnacos-2.2.3)
06-01
总的来说,Nacos 2.2.3版本在服务治理和配置管理方面提供了全面且强大的解决方案,是构建微服务架构的重要工具。无论是在服务发现、配置管理,还是在高可用、健康检查、权限控制等方面,Nacos都展现出了其优秀的设计...
nacos2.2.3-oracle版本
10-11
总的来说,Nacos 2.2.3版本对Oracle的支持,为企业级的微服务架构提供了一种更稳定、更高效的解决方案。通过集群部署,用户可以实现Nacos服务的高可用,同时利用Oracle的强大功能来保证数据的安全和一致性。在实际...
nacos-2.2.3资源下载
07-10
nacos-2.2.3压缩包
nacos2.2.3版本
09-06
方便下载,不用梯子,最新版nacos,先解压再上传服务器
记录升级依赖版本遇到的问题(6)nacos升级2.2.3 开启认证登录后 服务启动不了怎么办?
weixin_42370032的博客
12-11 2365
产生原因:nacos升级2.2.3之后开启认证后,项目连接nacos依赖版本号不匹配,需要升级依赖版本号。
Nacos升级2.2.3 解决Jraft Hessian反序列漏洞
l_mmf的博客
09-11 1089
升级NacosNacos升级2.2.3 解决Jraft Hessian反序列漏洞
nacos 2.2.3版本部署
wasdcsdn2017的博客
06-29 3989
时,请确保token是有效的,如果修改成无效值,会导致后续无法登录,请求访问异常。后台启动命令:sh startup.sh -m standalone。注意:鉴权开关是修改之后立马生效的,不需要重启服务端。自定义密钥时,推荐将配置项设置为。安装包下载 2.2.3。
Nacos 1.4.x 升级至 2.x 详细步骤及遇到的问题,亲测可行【上篇】
雪龙翔宇
04-19 5189
nacos由1.4.5升级2.2.2版本时,遇到了一些问题,参考官方文档进行了相应的整合
nacos升级到2.0.3(单机模式)
lanren312的博客
06-07 2433
nacos官方文档指出 nacos.core.auth.plugin.nacos.token.secret.key 不能使用默认值,nacos.core.auth.server.identity.key,nacos.core.auth.server.identity.value也一样,都需要修改。linux中启动第一行日志就会打印 c.a.n.c.c.impl.LocalConfigInfoProcessor : LOCAL_SNAPSHOT_PATH:/root/nacos/config。
Nacos 服务注册和发现——踩坑之旅
wuniangzhanyan的博客
01-25 4784
今天要用nacos做服务注册中心,从下载压缩包之后就开始踩坑,记录一下: 一,在https://github.com/alibaba/Nacos下载压缩包,我下载的是最新版本的,2.0.0的,后来启动报错,我去百度,说最稳定的版本是1.4.1的,但是最后操作证明不是版本问题,这个最新版也可以用。 二,解压缩后,我开始没有修改文件夹名称,上边带着版本号什么的,后来报错,一度任务是文件夹名称有问题,就改成很简单的英文单词了。 三,修改数据库配置: 然后按照配置信息,在本地创建数据库,并且执行E:\devel
最新版nacos 2.2.3服务注册与发现版本依赖问题
m0_64332518的博客
10-14 1596
【代码】最新版nacos 2.2.3服务注册与发现版本依赖问题
jeecg-boot中的nacos服务升级2.2.3版本
07-20
你好!要将 Jeecg-Boot 中的 Nacos 服务升级2.2.3 版本,您可以按照以下步骤进行操作: 1. 首先,下载 Nacos 2.2.3 的发布版本。您可以从 Nacos 官方 GitHub 仓库中获取最新的发布版本:https://github.com/alibaba/nacos/releases/tag/2.2.3 2. 解压下载的压缩文件到您选择的目录。 3. 停止当前运行的 Nacos 服务。您可以使用命令行或者关闭对应的服务进程来停止 Nacos 服务。 4. 备份当前的 Nacos 配置文件和数据库。这是为了防止升级过程中出现意外情况导致数据丢失。您可以将 `conf` 目录和 Nacos 使用的数据库进行备份。 5. 将新版本Nacos 文件替换到旧版本的目录中。确保替换时不会覆盖您的配置文件和数据库备份。 6. 检查 `conf` 目录下的配置文件,确认其中的配置与您先前使用的版本保持一致。如果有必要,您可以根据新版本的配置文件进行修改。 7. 启动升级后的 Nacos 服务。您可以使用命令行或者启动对应的服务进程来启动 Nacos 服务。 8. 确认升级后的 Nacos 服务是否正常运行。您可以通过访问 Nacos 的管理控制台或者调用相关接口来进行验证。 请注意,在进行任何升级操作之前,请确保您已经对相关文件和数据进行了备份,以防止不可预料的问题发生。此外,如果您的项目中有其他与 Nacos 相关的组件,也需要确保它们与新版本Nacos 兼容。 希望这些步骤能够帮助到您!如果您有任何其他问题,请随时提问。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

JEECG低代码平台

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值