Nacos Derby 远程命令执行漏洞修复建议

由于Nacos <= 2.4.0 BETA 存在 Derby 远程命令执行漏洞,恶意攻击者利用此漏洞可以未授权执行SQL语句,最终导致任意代码执行。目前该漏洞PoC和技术细节已在互联网上公开。

一、漏洞情况分析

Nacos 是一个功能强大的服务注册与发现、配置管理平台,为微服务架构和云原生应用提供了重要的基础设施支持。

由于Alibaba Nacos部分版本中derby数据库默认可以未授权访问,恶意攻击者利用此漏洞可以未授权执行SQL语句,最终导致任意代码执行。该漏洞利用存在如下条件:

1、Nacos未开启身份认证。

2、Nacos使用derby内置数据库。

二、漏洞影响范围

Nacos <= 2.4.0 BETA

三、漏洞处置建议

3.1 官方修复方案

官方已经在最新代码中通过默认禁用derby接口的方式对本漏洞进行了修复,但还未合并到发行版本,修复代码如下所示:

Close derby ops api default. (#12372) · alibaba/nacos@ed7bd03 · GitHub

3.2 临时修复方案

1、在不影响业务的情况下,使用MySQL等外置数据库。

2、配置Nacos开启身份认证,设置强密码。详细操作过程可参考官方手册:++权限校验 | Nacos 官网++

3、使用iptables、安全组等方式,限制访问Nacos端口的源IP。

相关推荐
J-Tony112 小时前
【Redis】 Redis 是单线程还是多线程
服务器·数据库·mysql
linux kernel2 小时前
02:库与表的操作
mysql
wuqingshun3141597 小时前
什么是代理模式?一般用在什么场景?
java·mysql·代理模式
程序员小八7778 小时前
从 0 学习 MySQL 索引——7 大核心精讲
android·学习·mysql
渣渣灰飞8 小时前
MySQL 系统学习 第六阶段:Redis + 缓存 + 高并发设计 第六章:Redis 实现登录 Token
学习·mysql·缓存
渣渣灰飞9 小时前
MySQL 系统学习 第六阶段:Redis + 缓存 + 高并发设计 第五章:缓存穿透、缓存击穿、缓存雪崩
学习·mysql·缓存
小小小小钰儿10 小时前
网络安全名词术语!
安全·web安全·计算机·网络安全·黑客·编程
Rsun0455111 小时前
MySQL 中什么是回表?
数据库·mysql
橙臣程12 小时前
集群、分布式与微服务介绍
分布式·微服务·架构