[Crítico] Vulnerabilidad de deserialización de Raft en el clúster de Nacos

News 2023-06-12 09:08:46 views: null

Descripción de la vulnerabilidad

Nacos es una plataforma para el descubrimiento y la configuración de servicios dinámicos y la gestión de servicios.

Un atacante puede usar Hessian para realizar una deserialización ilimitada cuando el clúster de Nacos procesa ciertas solicitudes de Jraft, lo que resulta en la ejecución remota de código.

Dado que Nacos escucha el puerto 7848 de forma predeterminada para procesar las solicitudes del protocolo Raft, los atacantes pueden aprovechar esta vulnerabilidad enviando paquetes de datos creados con fines malintencionados al puerto 7848.

Nombre de vulnerabilidad Vulnerabilidad de deserialización de Raft del clúster de Nacos
tipo de vulnerabilidad deserialización
Tiempo de descubrimiento 2023/6/6
Amplitud de vulnerabilidad ancho
Número MPS MPS-x09i-fgr6
número CVE -
número CNVD -

Esfera de influencia

com.alibaba.nacos:nacos-consistency@[1.3.0, 1.4.6)

com.alibaba.nacos:nacos-consistency@[2.0.0, 2.2.3)

Plan de reparación

Actualice el componente com.alibaba.nacos:nacos-consistency a la versión 2.2.3 o posterior

Prohibir el protocolo Raft (el puerto 7848 está configurado de forma predeterminada) para recibir solicitudes desde fuera del clúster de Nacos

Link de referencia

https://www.oscs1024.com/hd/MPS-x09i-fgr6

https://github.com/alibaba/nacos/releases/tag/2.2.3

https://github.com/alibaba/nacos/commit/08e350795e9fb663c12811aae98dc41639f2c170

https://github.com/alibaba/nacos/commit/6080b01ce6e3a62392e85187f5e62dbbf40a992c

https://github.com/alibaba/nacos/releases/tag/1.4.6

Acerca de Murphy Security

Murphy Security es una empresa de tecnología que le brinda administración de seguridad de la cadena de suministro de software profesional. El equipo central proviene de Baidu, Huawei, Wuyun y otras empresas. La compañía brinda a los clientes una plataforma completa de administración de seguridad de la cadena de suministro de software y proporciona software con un ciclo de vida completo en torno a la gestión de seguridad SBOM, las capacidades de la plataforma incluyen análisis de componentes de software, gestión de seguridad de origen, detección de imágenes de contenedores, alerta temprana de inteligencia de vulnerabilidad y evaluación de acceso a la cadena de suministro de software comercial y otros productos. Proporcione a los clientes capacidades de control completas desde la gestión de identificación de activos de la cadena de suministro, detección de riesgos, control de seguridad y reparación con una sola tecla.
Proyecto de código abierto: https://github.com/murphysecurity/murphysec/?sf=qbyj

El producto se puede integrar con varias herramientas en el proceso de desarrollo existente a un costo muy bajo, incluida la integración perfecta con docenas de herramientas como IDE, Gitlab, Bitbucket, Jenkins, Harbor y Nexus.
Herramienta de detección de seguridad de código gratuita: https://www.murphysec.com/?sf=qbyj
Suscripción de inteligencia gratuita: https://www.oscs1024.com/cm/?sf=qbyj

inserte la descripción de la imagen aquí

Supongo que te gusta

Origin blog.csdn.net/murphysec/article/details/131092059
Recomendado
Clasificación
Diario
Más
2024-05-16(22)
2024-05-15(5)
2024-05-14(10)
2024-05-13(7)
2024-05-12(22)
2024-05-11(31)
2024-05-10(32)
2024-05-09(31)
2024-05-08(18)
2024-05-07(35)

Code World

© 2018 codetd.com