問題の説明
Nacos の古いバージョンには Raft の脆弱性が見つかり、問題を解決するために最新バージョン 2.2.3 に直接アップグレードされました。
アップグレード手順
1.pomを変更する
- パス:
jeecg-server-cloud/jeecg-cloud-nacos/pom.xml
- 現時点では、新しい依存関係は Maven 公式ウェアハウスにアップロードされていません。jeecgプライベート サーバーを構成してください。
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<artifactId>jeecg-cloud-nacos</artifactId>
<name>jeecg-cloud-nacos</name>
<description>nacos启动模块</description>
<version>3.5.2</version>
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>2.6.14</version>
<relativePath/>
</parent>
<repositories>
<repository>
<id>aliyun</id>
<name>aliyun Repository</name>
<url>https://maven.aliyun.com/repository/public</url>
<snapshots>
<enabled>false</enabled>
</snapshots>
</repository>
<repository>
<id>jeecg</id>
<name>jeecg Repository</name>
<url>https://maven.jeecg.org/nexus/content/repositories/jeecg</url>
<snapshots>
<enabled>false</enabled>
</snapshots>
</repository>
</repositories>
<properties>
<log4j2.version>2.17.0</log4j2.version>
</properties>
<dependencies>
<dependency>
<groupId>org.apache.tomcat.embed</groupId>
<artifactId>tomcat-embed-jasper</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.jeecgframework.nacos</groupId>
<artifactId>nacos-naming</artifactId>
<version>2.2.3</version>
</dependency>
<dependency>
<groupId>org.jeecgframework.nacos</groupId>
<artifactId>nacos-istio</artifactId>
<version>2.2.3</version>
</dependency>
<dependency>
<groupId>org.jeecgframework.nacos</groupId>
<artifactId>nacos-config</artifactId>
<version>2.2.3</version>
</dependency>
<dependency>
<groupId>org.jeecgframework.nacos</groupId>
<artifactId>nacos-console</artifactId>
<version>2.2.3</version>
</dependency>
</dependencies>
<build>
<plugins>
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
</plugin>
</plugins>
</build>
</project>
2. Nacos データベースをアップグレードし、アップグレード スクリプトを実行します。
ALTER TABLE config_info ADD encrypted_data_key varchar(255) DEFAULT NULL COMMENT '加密key';
ALTER TABLE his_config_info ADD encrypted_data_key varchar(255) DEFAULT NULL COMMENT '加密key';
ALTER TABLE config_info_beta ADD encrypted_data_key varchar(255) DEFAULT NULL COMMENT '加密key';
ALTER TABLE config_info_tag ADD encrypted_data_key varchar(255) DEFAULT NULL COMMENT '加密key';
3. Nacos プロジェクトを開始してアップグレードを完了します
アップグレードは完了しました。とても簡単です。
4. 脆弱性の説明
1. 具体的な指示
Nacos は、クラウドネイティブ アプリケーションを構築するための、使いやすい動的なサービス検出、構成、およびサービス管理プラットフォームです。
最近、Nacos は逆シリアル化の脆弱性を修正する更新バージョンをリリースしました。Nacos クラスターは、一部の Jraft リクエストを処理する際にデシリアライゼーションのためのヘシアンの使用を制限していないため、リモートでコードが実行される可能性があります。ただし、この脆弱性はポート 7848 (デフォルト設定の下) にのみ影響します。一般に、このポートは Nacos クラスタ間の Raft プロトコルの通信ポートであり、クライアント リクエストを伝送しません。そのため、Nacos の外部からのリクエストを禁止することで軽減できます。このポート上のクラスタ。
現在、この脆弱性は修正されており、影響を受けるユーザーは Nacos バージョン 1.4.6 または 2.2.3 にアップデートできます。
2. 影響範囲
1.4.0<=Nacos バージョン<1.4.6
2.0.0<=Nacos バージョン<2.2.3
3. 参考ブログ
- http://net.jstu.edu.cn/2023/0612/c2331a165901/page.htm
- http://www.hackdig.com/06/hack-1004954.htm
- https://blog.csdn.net/qq12547345/article/details/131183159
- https://blog.csdn.net/weiyangdong/article/details/131440830