漏洞信息
Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。CVE-2021-29441中,攻击者通过添加Nacos-Server的User-Agent头部将可绕过认证,从而进行API操作。
该漏洞EXP已公开传播,漏洞利用成本极低,危险等级高,建议立即修复。
影响范围
nacos版本号 小于等于 2.0.0-ALPHA.1
nacos版本号 小于 1.4.1
解决办法
更新至最新版,完成漏洞的修复。
修复步骤
注意:此处步骤为原本已经安装了受影响版本的nacos。
将压缩包上传到服务器
备份原来的nacos安装目录
将原来的的nacos安装目录中的,bin 、 conf、target 目录删除,将解压后的nacos 中的bin 、 conf、target 目录复制到原来的nacos安装目录下。
再次根据自己的实际情况修改conf/application.properties配置。此处省略掉nacos连接数据库配置、数据库类型等配置,这些配置根据自己旧版本的配置配置即可。最主要的是在配置文件中修改以下相关配置。
开启nacos鉴权功能 (此配置必须修改)
原本的nacos鉴权功能默认是关闭状态,如下:
此处配置需要打开,改成true。开启鉴权
配置token令牌密钥 (此配置必须修改)
在配置中找到以下配置:
将编码复制后放入配置中
配置自定义登录账号密码 (此配置必须修改)
在配置文件中,找到以下两个配置
将以下配置修改为自己登录nacos的账号密码。例如此处修改为,账号:zhangxiaosan , 密码修改为:Root@123456
此处的账号密码将用于登录界面的登录使用
7. 验证升级结果
进入 bin 目录下,以单节点的方式启动nacos。看到打印的版本号为更新的版本号Nacos 2.3.2则表示成功。
# 单节点的方式启动nacos
./startup.sh -m standalone
如下:
将本节点的安装文件目录通过scp命令拷贝到其他机器即可。
其他安全策略
开启防火墙,限制能访问此管理界面的IP地址。设置白名单等。
领取专属 10元无门槛券
私享最新 技术干货