Nacos 1.4.1 修复指定特殊 UA 可绕过所有鉴权的安全漏洞

来源: OSCHINA
编辑: 局长
2021-01-15

Nacos 1.4.1 已发布,此版本的主要新功能是支持 IPv6 服务注册,以及为 Csharp 客户端提供 UDP push 支持。

更值得关注的是,1.4.1 版本解决了此前被曝出的绕过鉴权的安全漏洞 (#4593)。release note 写到,增加服务器身份认证以替代 UA 白名单模式。

开发者@threedr3am半个月前向 nacos 提交 issue 反馈了一个可以绕过鉴权的安全漏洞(出于安全考虑,提交者已删除此 issue 内容,具体的漏洞描述已无法查看)。

从上下文来推测,此漏洞大概是在 nacos 中使用特殊的 UA 即可忽略鉴权——从而绕过了鉴权机制。维护者回复称,这个特殊 UA 用于服务间通信鉴权白名单,由于是白名单模式,所以会忽略鉴权,而且这是服务端之间的通信鉴权,不会推荐用户直接使用,因此并没在文档进行描述。

issue 的回复显示,nacos 从 1.2.0 开始增加了鉴权功能,所以建议使用 1.2.0 及以上版本的用户升级至最新的 1.4.1。

nacos 1.4.1 发布后,开发者@threedr3am又发现了一个能绕过鉴权的机制 (#4701),nacos 维护者确认后在 1.4.1 基础上进行 hotfix 解决了此问题。

建议用户直接下载最新的 1.4.1 版本进行部署升级。

下载地址:https://github.com/alibaba/nacos/releases/tag/1.4.1

展开阅读全文
3 收藏
分享
加载中
精彩评论
开发者安全意识单薄(非常危险),可以说从一开始就没考虑安全,要不然不会设计成这样。
2021-01-15 09:28
16
举报
我看到的是 傲慢、无礼,以及对安全问题的懈怠。这样的开发者在开源项目中的存在,是对优秀项目的侮辱
2021-01-15 10:05
13
举报
图中显示的是有问题,不处理??吐槽一句,rocketmq也是,随意关闭issue,官方复现不了的问题,就直接关闭issue。
2021-01-15 08:23
11
举报
在开源中国就不要提什么内不内网了吧,这里都是大佬,难道内网就不用权限隔离了吗?你怎么做管理?内网就没安全问题?
2021-01-15 09:38
10
举报
阿里的东西还是少用,尽是kpi产物,看上面开发者的态度就不行
2021-01-15 09:23
8
举报
最新评论 (13)
为什么出现这么多的拇指向下
2021-01-15 17:28
0
回复
举报
注册中心还有应用场景?
2021-01-15 14:47
0
回复
举报
说实话,感觉阿里开源东西或多或少都存在问题,还是用zookeeper吧
2021-01-15 10:06
5
回复
举报
我看到的是 傲慢、无礼,以及对安全问题的懈怠。这样的开发者在开源项目中的存在,是对优秀项目的侮辱
2021-01-15 10:05
13
回复
举报
这算不算是后门
2021-01-15 09:57
2
回复
举报
...
2021-01-15 09:49
0
回复
举报
nacos端口不暴露到公网就没问题。
2021-01-15 09:34
1
回复
举报
在开源中国就不要提什么内不内网了吧,这里都是大佬,难道内网就不用权限隔离了吗?你怎么做管理?内网就没安全问题?
2021-01-15 09:38
10
回复
举报
leader 好像是个学生
2021-01-15 09:30
1
回复
举报
开发者安全意识单薄(非常危险),可以说从一开始就没考虑安全,要不然不会设计成这样。
2021-01-15 09:28
16
回复
举报
阿里的东西还是少用,尽是kpi产物,看上面开发者的态度就不行
2021-01-15 09:23
8
回复
举报
更多评论
13 评论
3 收藏
分享
返回顶部
顶部