gateway漏洞(CVE-2022-22947)

吴半杯2024-11-23 17:17

一、线上异常

描述:

早上被电话吵醒,线上环境出现Bug,很多接口请求都失败了,绕开网关请求各个微服务都是正常的,经过网关就异常了,观察到页面上接口路径都被莫名其妙的改了,去看日志发现网关出现了 Cannot fetch registry from server reactor.core.Exceptions$ErrorCallbackNotImplemented: java.lang.IndexOutOfBoundsException: Index: 0, Size: 0 。

二、处理

①快速保存k8s日志、pod日志、pod容器到备份文件夹下,保留现场

②赶紧重启网关工作负载

三、分析

分析nginx、网关日志,收集到几个异常路径信息,看来是被搞了

|-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| /management/gateway/routes/hacktest /management/gateway/Opd /management/VU /management/gateway/OPd?%B2%E9%BF%B4=%7b:-y%7d%7b%7b6pr:-j%7dnd%7benv:fm4:-%7di:d%7bxyf::-n%7ds://log4sports.sztyzx.1729020766114.aotX.null/a%7d /management/VU?%B2%E9%BF%B4=%7b:-y%7d%7b%7b6pr:-j%7dnd%7benv:fm4:-%7di:d%7bxyf::-n%7ds://log4sports.sztyzx.1729020770655.bCwj.null/a%7d |

表明在尝试访问一个空的列表时发生了越界异常。这通常发生在尝试获取路由定义中的谓词(predicates)时,但该列表为空。

以下是一些可能的解决方案:

  1. 检查路由配置:确保您的Spring Cloud Gateway路由配置中的predicates部分没有遗漏。每个路由定义都需要至少一个谓词。如果您的配置文件中有任何路由缺少谓词,这可能是导致问题的原因。
  2. 动态路由问题:如果您使用的是动态路由(例如,通过Actuator端点动态添加或删除路由),确保这些路由正确配置了谓词。如果动态添加的路由没有正确的谓词,也可能导致这个错误。
  3. 升级Spring Cloud Gateway:如果您使用的是较旧版本的Spring Cloud Gateway,可能存在已知的漏洞或错误。考虑升级到最新的安全版本,例如3.1.x或3.0.x的最新补丁版本。
  4. 异常处理:在Reactor中,当发生异常时,可以通过在subscribe方法中指定onError处理程序来处理异常。这样可以避免ErrorCallbackNotImplemented异常。
  5. Nginx配置:作为一种临时解决方案,您可以通过Nginx配置来拦截可能导致问题的路径。例如,可以在Nginx配置文件中添加以下内容来返回404错误,从而避免请求到达后端服务:

|--------------------------------------------------|
| location /(actuator|management) { return 403; } |

然后重新加载Nginx配置。

  1. 日志过滤:如果某些错误日志不是您当前关注的重点,可以通过日志过滤来减少这些日志的干扰。例如,使用Logback时,可以配置EvaluatorFilter来过滤掉包含特定文本的消息。

四、后续解决

①在不影响现有业务下

|-------------------------------------------|
| management.endpoint.gateway.enabled=false |

②Nginx那个配置会影响到现有业务,方案否决

②后续升级gateway网关,检查升级后框架依赖、业务底代码是否有问题

|----------------------------------------------------------------------------------------|
| spring-cloud-gateway-core && spring-boot-starter-gateway升级到 3.1.1+ 版本, 3.0.7+ 版本可以解决 |

相关推荐
进击切图仔1 小时前
ROS 跨机通信与 Docker 多机环境搭建
运维·docker·容器
切糕师学AI1 小时前
Kubernetes 中的 Informer 机制
云原生·容器·kubernetes·informer
xiaoye37082 小时前
docker 迁移mysql容器
mysql·docker
切糕师学AI2 小时前
Kubernetes Operator 详解
运维·分布式·云原生·容器·kubernetes·自动化·运维自动化
AnalogElectronic2 小时前
云原生学习day1ubuntu安装docker,基础镜像打包
学习·docker·云原生
KubeSphere 云原生3 小时前
云原生周刊:Docker 是什么?容器革命的起点
docker·云原生·容器
fengyehongWorld4 小时前
docker 常用命令
运维·docker·容器
zhu62019764 小时前
【保姆级】3分钟搞定 OpenClaw 大龙虾环境:Docker 一键部署,零基础!
运维·docker·容器·openclaw
ai产品老杨4 小时前
源码交付与异构算力破局:基于GB28181/RTSP的Docker化AI视频平台架构实战
人工智能·docker·音视频
AnchorYYC5 小时前
Docker入门
运维·docker·容器
热门推荐
01GitHub 镜像站点02OpenClaw 使用和管理 MCP 完全指南03本地部署 OpenClaw + DeepSeek-R1 完全指南04Qwen3.5 开源全解析:从 0.8B 到 397B,代际升级 + 全场景选型指南05OpenClaw 飞书机器人不回复消息?3 小时踩坑总结06得物前端部门,没了07OpenClaw macOS 完整安装与本地模型配置教程(实战版)08OpenClaw 连接飞书完整指南:插件安装、配置与踩坑记录09Window 10部署openclaw报错node.exe : npm error code 12810OpenClaw 接入 QQ Bot 完整实践指南