探索 Nacos反序列化漏洞CNVD-2023-45001

在软件开发领域,安全漏洞是一项不容忽视的重要问题。最近,我们的安全团队发现了一个影响到我们的Nacos 2.1.0版本的反序列化漏洞,可能带来严重的安全威胁。我们已经立即采取了修复措施。本文将深入探讨这些漏洞的原理、可能造成的影响,以及修复方法。

漏洞详情

  • 公开日期:2023-06-08

  • 漏洞编号:CNVD-2023-45001

  • 危害等级:高危

  • 漏洞描述:该漏洞源于 Nacos 集群处理部分 Jraft 请求时,未限制使用 hessian 进行反序列化,由于 Nacos 默认监听 7848 端口处理 Raft 协议请求,攻击者可以通过向 7848 端口发送恶意构造的数据包利用该漏洞,最终执行任意远程代码。

  • 漏洞影响产品

    1.4.0 <= Alibaba Nacos < 1.4.6 使用cluster集群模式运行

    2.0.0 <= Alibaba Nacos < 2.2.3 任意模式运行

  • 漏洞处置建议

    用户可参考如下供应商提供的安全公告获得补丁信息:

    github.com/alibaba/nac...

漏洞修复方法

我们使用的是cluster 模式启动的nacos:2.1.0的版本,也是在这个漏洞的影响范围之内,我们的解决方案就是将nacos的版本升级到2.2.3。 下载地址:github.com/alibaba/nac...

以下是官方2.2.3版本的说明:

我们此次升级还是比较顺利的,数据库方面不用做任何调整,在配置文件上2.2.3和2.1.0还是有些小差异的。主要集中在鉴权参数的默认值是上。2.2.3默认是没有开启鉴权。我们只需要根据官方提供的文档,开启鉴权,然后设置鉴权的参数即可。 文档地址:nacos.io/zh-cn/docs/...

总结

安全是软件开发过程中的重中之重,漏洞修复和安全加固工作应该得到充分重视。针对 Nacos 反序列化漏洞,我们应该及时采取措施修复漏洞,保障系统的安全稳定运行。

相关推荐
Cosolar15 分钟前
vLLM 生产级部署完全指南
人工智能·后端·架构
IT_陈寒1 小时前
垃圾回收器选错了,我的Java服务内存炸了
前端·人工智能·后端
用户8356290780512 小时前
使用 Python 在 PDF 中创建与管理书签
后端·python
Nturmoils2 小时前
字段太多看不全,ksql 的展开模式和输出控制怎么用
数据库·后端
大志说编程2 小时前
Agent面试真题06: 十分钟带你快速掌握Agent记忆管理高频面试题(附详细答案)
后端·面试·ai编程
ServBay2 小时前
Claude Code 被曝植入后门,AI 时代如何安全打造本地 DevOps
后端·ai编程·claude
王二端茶倒水2 小时前
从千兆到万兆:宽带运营不能只卖套餐,要管用户生命周期从千兆到万兆:宽带运营需要管理用户生命周期
后端·网络协议·架构
网易云信3 小时前
重磅认证!网易智企智能融合通信获鸿蒙生态权威认可,斩获「Harmony Trusted SDK」认证
人工智能·后端·aigc
神奇小汤圆3 小时前
我把祖传Java项目重构后,接口响应从3s砍到了200ms,只改了这几行代码
后端