Nacos 1.4.1 发布,修复指定特殊 UA 可绕过所有鉴权的安全漏洞

mulan 2021-01-15 10:16:11 ⋅ 1217 阅读

Nacos 1.4.1 已发布,此版本的主要新功能是支持 IPv6 服务注册,以及为 Csharp 客户端提供 UDP push 支持。

更值得关注的是,1.4.1 版本解决了此前被曝出的绕过鉴权的安全漏洞 (#4593)。release note 写到,增加服务器身份认证以替代 UA 白名单模式。

开发者@threedr3am半个月前向 nacos 提交 issue 反馈了一个可以绕过鉴权的安全漏洞(出于安全考虑,提交者已删除此 issue 内容,具体的漏洞描述已无法查看)。

从上下文来推测,此漏洞大概是在 nacos 中使用特殊的 UA 即可忽略鉴权——从而绕过了鉴权机制。维护者回复称,这个特殊 UA 用于服务间通信鉴权白名单,由于是白名单模式,所以会忽略鉴权,而且这是服务端之间的通信鉴权,不会推荐用户直接使用,因此并没在文档进行描述。

issue 的回复显示,nacos 从 1.2.0 开始增加了鉴权功能,所以建议使用 1.2.0 及以上版本的用户升级至最新的 1.4.1。

nacos 1.4.1 发布后,开发者@threedr3am又发现了一个能绕过鉴权的机制 (#4701),nacos 维护者确认后在 1.4.1 基础上进行 hotfix 解决了此问题。

建议用户直接下载最新的 1.4.1 版本进行部署升级。

下载地址:https://github.com/alibaba/nacos/releases/tag/1.4.1


全部评论: 0

    我有话说:

    XXL-JOB 针对未授权访问导致远程命令执行漏洞声明

    对于日前 XXL-JOB 被各大云厂商报出存在远程命令执行漏洞情况,XXL-JOB 作者表示此问题本质上不是“漏洞”,因为官网版本已提供组件,开启即可防护。具体回应如下: 该问题

    Netty 4.1.61.Final 发布,异步事件驱动网络应用框架

    Netty 4.1.61.Final 已经发布。Netty 是一个异步事件驱动网络应用框架,主要用于维护高性能协议服务器和客户端快速开发。本次更新除了修复各种错误之外,还包含了一个安全修复

    Netty 4.1.65.Final 发布,异步事件驱动网络应用框架

    Netty 4.1.65.Final 已经发布。Netty 是一个异步事件驱动网络应用框架,主要用于维护高性能协议服务器和客户端快速开发。本次更新除了修复各种错误之外,还包含了一个安全修复

    Netty 4.1.59.Final 发布,异步事件驱动网络应用框架

    Netty 4.1.59.Final 已经发布。Netty 是一个异步事件驱动网络应用框架,主要用于维护高性能协议服务器和客户端快速开发。 该版本除了修复各种错误之外,还包含一个安全修复程序

    Netty 4.1.60.Final 发布,异步事件驱动网络应用框架

    Netty 4.1.60.Final 已经发布。Netty 是一个异步事件驱动网络应用框架,主要用于维护高性能协议服务器和客户端快速开发。本次更新除了修复各种错误之外,还包含了一个安全修复

    Spring Cloud Eureka Nacos如何解决服务上线下线延时长问题

    1.降低延迟时间     1)中小型项目建议关闭自我保护(eureka.server.enableSelfPreservation=false)     2

    Istio 1.8.2 发布修复了部分 bug 以提升稳定性

    Istio 1.8.2 已发布,Istio 是一个由谷歌、IBM 与 Lyft 共同开发开源项目,旨在提供一种统一化微服务连接、安全保障、管理与监控方式。具体来说,Istio 是一个开源服务网格

    安全攻防系列一 安全基础概念

      该系列记录学习极客时间–安全攻防技能30讲相关内容 安全本质 安全本质就是保护数据被合法地使用。 数据:应用最核心东西;如用户信息、订单信息等等 合法:大到法律法规、业务

    Eclipse Jetty 9.4.38、10.0.1 和 11.0.1 发布

    Eclipse Jetty 9.4.38、10.0.1 和 11.0.1 已经发布。这三个版本都包含了大量 bug 修复和改进,建议所有用户尽快升级。重要是,这些版本涉及 CVE-2020

    Riot 5.3.1 发布,基于组件 UI

    Riot 5.3.1 现已发布。Riot 是一个简单而优雅基于组件 UI 库,为所有现代浏览器带来了自定义组件,压缩文件大小仅有 6 KB,支持 FireFox、Chrome、Edge

    极速后台框架 FastAdmin v1.2.0.20210125 新增插件 API 文档生成

    FastAdmin 更新日志 v1.2.0.20210125_beta 新增自定义插件API文档生成 新增登录和状态显示 新增自定义测试提交参数 优化安装脚本 优化cookie加密 修复系统

    Spring Cloud 2020.0.1 BUG 修复版本发布

    2021 首发, Spring Cloud 2020.0.1 (代号"Ilford",伊尔福德)版本发布,此版本 BUG 修复版本,从 2020.0.0 版本平滑升级。目前已可以从 maven

    CrateDB 4.3.1 发布,分布式 SQL 数据库

    CrateDB 4.3.1发布。Crate 是一个开源大规模伸缩数据存储系统,无需任何系统管理需求。提供强大搜索功能。用于存储各种表格数据、非结构化数据和二进制对象。并通过 SQL

    Firefox 85.0.1 发布

    Firefox 85.0.1 版本现已发布,更新内容如下: Fixed 安全修复。 禁止访问可能导致文件系统损坏 NTFS 特殊路径。 修复了在具有 Apple Silicon CPU

    HashiCorp开源Boundary:安全访问动态主机服务

    HashiCorp 宣布开源 Boundary,此项目帮助运维人员及从业者通过细粒度授权安全地访问动态主机和服务,无需管理凭据或公开网络。 Boundary 旨在使用最小特权原则 (POLP

    Spring Cloud Data Flow 2.7.1 发布

    Spring Cloud Data Flow 2.7.1 发布了。Spring Cloud Data Flow 是构建数据集成和实时数据处理流水线工具包。 主要更新内容 UI 错误修复

    Druid 1.2.4 版本发布,增强 SQL Parser,支持 JDK8 日期类型

    Druid 1.2.4 版本现已发布,这个是一个小 bug 修复版本,修复了一系列 SQL Parser 问题,增强对 JDK 8 支持。 Issues SQL Parser 增强对

    Gradle 6.7.1 发布修复 6.7 中严重错误

    这是 Gradle 6.7 修补版本,修复了 Gradle 6.7 中几个严重错误,更新内容包括: 修复反向移植工具链错误问题 修复安装 Openjdk-11 后,Java 工具链在

    Apache Traffic Control 5.1.2 发布,高扩分布式 CDN 解决方案

    Apache Traffic Control 5.1.2 现已发布。Apache Traffic Control 是一个分布式、扩展冗余解决方案,实现了现代 CDN 所有核心功能,