Nacos安全漏洞 |
您所在的位置:网站首页 › auth验证登录漏洞 › Nacos安全漏洞 |
漏洞描述 Nacos在低版本(1.2.0至1.4.0版本)存在过于简单的服务端间请求判断条件,使得攻击者可以简单模拟服务端间请求来绕过权限认证,从而获取敏感信息。 影响范围以下集群可能受此漏洞影响,您需要注意并升级Nacos。 自行搭建的1.2.0~1.4.0版本Nacos。 自行搭建的1.4.1及以上版本但未开启服务端身份识别功能的集群。关于服务端身份识别功能,请参见Nacos。 MSE产品不受该漏洞影响。 说明MSE Nacos引擎基础版1.1.3版本(已停止维护):无鉴权能力且不支持配置中心,不涉及此漏洞。 MSE Nacos引擎基础版1.2.1版本(已停止更新功能):默认创建集群不开启鉴权能力,开启鉴权后使用阿里云RAM进行权限认证,不涉及此漏洞。 MSE Nacos引擎专业版:默认创建集群不开启鉴权能力,开启鉴权后使用阿里云RAM进行权限认证,不涉及此漏洞。 安全建议确认MSE Nacos引擎实例是否开放了公网白名单。若未设置公网白名单,需要设置公网白名单阻止非预期来源的请求。具体操作,请参见设置白名单。 确认MSE Nacos引擎实例是否为旧版本。若为基础版1.1.3版本,需要将基础版升级至1.2.1及以上版本。具体操作,请参见Nacos 1.1.3版本升级为1.2.1版本。 说明MSE Nacos基础版实例仅支持配置中心鉴权,建议升级至专业版最新版本,同时开启注册中心鉴权,以进行全方位保护。具体操作,请参见Nacos基础版升级为专业版或开发版。 为MSE Nacos引擎实例开启鉴权。具体操作,请参见开启鉴权。 |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |