Nacos未授权和身份认证漏洞修复

已于 2023-12-27 16:45:52 修改
阅读量3.9k 收藏 10
点赞数 10
分类专栏: Java 文章标签: java nacos
于 2023-12-27 16:39:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zyfmeng/article/details/135249534
版权 
解决以下漏洞:
	1、Alibaba Nacos未授权访问漏洞
	2、nacos弱身份认证漏洞(CVE-2021-29442)
	3、Nacos身份认证绕过漏洞

将nacos升级为2.3.0版本。
1、下载Nacos安装包
nacos下载
2、将nacos新版本安装包放到 /usr/local路径下,并解压
解压命令:tar -xvf nacos-server-2.3.0.tar.gz
3、修改nacos的配置
修改命令:vim /usr/local/nacos/conf/application.properties
nacos配置修改
开启认证
nacos.core.auth.enabled=true
设置自定义值
nacos.core.auth.server.identity.key=nacos
nacos.core.auth.server.identity.value=nacos
自定义密钥时,推荐将配置项设置为Base64编码的字符串
nacos.core.auth.plugin.nacos.token.secret.key=U2VjcmV0S2V5MDEyMzQ1Njc4OTAxMjM0NTY3ODkwMTIzNDU2Nzg5MDEyMzQ1Njc4OTAxMjM0NTY3ODkwMTIzNDU2Nzg5
4、需改项目中nacos的版本号

最低0.47元/天 解锁文章
Nacos未授权访问修复方案
moonlingh的博客
03-24 4643
Nacos 是 SpringCloud Alibaba 微服务架构中的一个组件,主要作用是服务注册发现以及分布式配置管理,通常情况下 Nacos 中存储着 MySQL、Redis 等数据库的账号密码。当前使用的版本存在用户读取、添加、登陆的漏洞
Nacos漏洞修复Nacos未授权访问漏洞(CVE-2021-29441)
m0_52985087的博客
03-20 1万+
但是由于配置的过于简单,并且将协商好的user-agent设置为Nacos-Server,直接硬编码在了代码里,导致了漏洞的出现。命令:curl -X GET 'http://localhost:8848/nacos/v1/auth/users?命令:curl -X GET 'http://localhost:8848/nacos/v1/auth/users?命令:curl -X GET 'http://localhost:8848/nacos/v1/console/server/state'
Nacos漏洞合集
最新发布
weixin_44192686的博客
04-01 1008
Nacos 是 Dynamic Naming and Configuration Service的首字母简称,一个更易于构建云原生应用的动态服务发现、配置管理服务管理平台。Nacos 致力于帮助用户发现、配置管理微服务。Nacos 提供了一组简单易用的特性集,能够快速实现动态服务发现、服务配置、服务元数据及流量管理。Nacos 可以更敏捷容易地构建、交付管理微服务平台。Nacos 是构建以“服务”为中心的现代应用架构 (例如微服务范式、云原生范式) 的服务基础设施。
Nacos未授权访问复现及修复
大数据姐姐
01-22 4815
Nacos未授权访问修复,开启鉴权
Nacos 身份认证绕过漏洞(已修复
weixin_58642210的博客
11-14 1844
Nacos 身份认证绕过漏洞
spring 微服务nacos未授权访问漏洞修复
egegerhn的博客
08-02 1937
近来,公司系统做安全渗透又被扫描出了nacos漏洞问题。报告已对漏洞进行了说明Nacos是一个为动态服务发现配置以及服务管理而设计的平台。Nacos如果没有配置认证管理,攻击者可以在无需授权的情况下获取敏感信息。公司系统使用版本为2.0.3。不支持进行认证管理,所以解决办法就是升级nacos版本到2.0.4。需要注意,升级nacos版本外,还需要调整微服中的一些配置。...
nacos安全测评漏洞nacos未授权访问漏洞【原理扫描】
Yang_RR的博客
05-11 3836
nacos目前使用的版本为v2.0.3,后台管理界面虽然有账号密码的登录验证,但是服务注册读取配置没有认证配置。
Nacos未授权新建用户漏洞(/nacos/v1/auth/users)
xue317378914的专栏
01-27 1957
针对这个漏洞的解决方案,主要nacos版本升级后,在配置文件中开启了鉴权验证,只要你的nacos开启了鉴权验证,并且对应的系统程序中,nacos客户端依赖版本可以跟服务端匹配,并且修改相应的配置文件,就可以解决这个问题。
Nacos身份认证漏洞
C_0010的博客
12-09 6377
Nacos身份认证漏洞,我们竟然2022年才发现!
Nacos未授权访问漏洞 修复方法
梵法利亚的博客
12-13 8817
漏洞概述 2020年12月29日,Nacos官方在github发布的issue中披露Alibaba Nacos 存在一个由于不当处理User-Agent导致的未授权访问漏洞 。通过该漏洞,攻击者可以进行任意操作,包括创建新用户并进行登录后操作。 影响版本 Nacos <= 2.0.0-ALPHA.1 修复方式 若业务环境允许,使用白名单限制相关web项目的访问来降低风险。 官方已发布最新安全版本,请及时下载升级至安全版本。 ...
NACOS身份认证绕过漏洞批量检测poc.7z
02-24
NACOS身份认证绕过漏洞批量检测poc.7z
【备忘录】修复docker环境下的nacos安全漏洞身份认证绕过漏洞
Xcong_Zhu的博客
10-23 2669
nacos2.2.0.11.4.5版本之前的版本中,可能是为了便于开发环境使用,默认开启了一个自带的token默认值,导致上述报告中,可以利用默认的访问秘钥跳过认证,直接登陆。1、检查application.properties文件中token.secret.key属性,若为默认值,可参考:https://nacos.io/zh-cn/docs/v2/guide/user/auth.html进行更改。之后讲登录返回包修改为正确登录信息。点击发送发现正确登录返回信息。同时选中base64加密。
nacos未授权访问漏洞解决方案,405错误
wanglinrui的博客
06-14 3916
nacos未授权 此时,需要修改代码中
Nacos认证绕过漏洞修复
LOOPY_Y的博客
06-11 3874
nacos认证绕过漏洞修复
Nacos 未授权访问漏洞
热门推荐
ljy啊虎的博客
09-07 2万+
Nacos 未授权访问漏洞 /nacos/v1/auth/users?pageNo=1&pageSize=9
Nacos 身份认证绕过漏洞修复
weixin_45286801的博客
03-15 293
nacos升级 2.2.0.1版本 nacos 身份认证绕过漏洞
JDK安装2023最完整教程与配置(零基础)
bdfcfff77fa的博客
06-19 1532
JDK安装2023最完整教程与配置(零基础)
nacos未经授权创建用户漏洞
秦子腾
03-23 581
打开nacos部署服务器输入命令 curl -XPOST -d “username=test123&password=test!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值