Nacos 認証バイパスの脆弱性が修正されました - コードワールド

Nacos 認証バイパスの脆弱性が修正されました

プログラミング 2023-10-01 14:46:48 訪問数: null

Nacos 認証バイパスの脆弱性が修正されました

1 脆弱性の説明と再発
- 1.1 脆弱性の説明
- 1.2 脆弱性の再発
2 バグ修正
3 修理後の確認

1 脆弱性の説明と再発

1.1 脆弱性の説明

Nacos 関係者は、github に投稿された問題で、Alibaba Nacos には User-Agent の不適切な処理によって引き起こされる認証バイパスの脆弱性があることを明らかにしました。この脆弱性により、攻撃者は新しいユーザーの作成やログイン後の操作などの任意の操作を実行することができます。

1.2 脆弱性の再発

リクエストヘッダーが User-Agent に設定され、値が Nacos-Server である場合、認証は必要なく、ユーザーを自由に作成できます。たとえば、http://ip:port/nacos/v1/auth/users にアクセスしてください。 ?username=xxx&password=xxx、次の図のように、ユーザーは正常に作成されます。
ここに画像の説明を挿入します
または、http://ip:port/nacos/v1/auth/users?pageNo=1&pageSize=10 にアクセスして、作成されたユーザー情報をクエリすることもできます。

2 バグ修正

nacos 構成ファイル (/<nacos インストールディレクトリ>/conf/application.properties) を編集し、次の構成情報を変更して保存します。

nacos.core.auth.enabled=true  
nacos.core.auth.enable.userAgentAuthWhite=false
nacos.core.auth.server.identity.key=serverIdentity
nacos.core.auth.server.identity.value=security

保存後、nacosを再起動します。

nacos のユーザー名とパスワードの情報がプロジェクトに設定されていない場合は、サービスに影響しますが、設定されている場合は無視してかまいません。たとえば、springboot 構成ファイルでは、nacos のユーザー名とパスワード情報を構成する必要があります。

spring:
  cloud:
    nacos:
      discovery:
        server-addr: 127.0.0.1:8848
        username: nacos
        password: nacos

3 修理後の確認

修復後、再度アクセスすると、以下のように403が表示されれば脆弱性の修復は成功です。
ここに画像の説明を挿入します

おすすめ

転載: blog.csdn.net/weixin_46505978/article/details/131157115

Nacos 認証バイパスの脆弱性が修正されました

Alibaba Nacos の認証バイパスの脆弱性

Nacos ID 認証バイパスの脆弱性セキュリティリスクに関する通知

Nacos 1.4.1には1.4.1より前に認証の脆弱性がありましたが、最新バージョンに修正することをお勧めします

nacos パーミッションバイパスの脆弱性

[質問] Nacos の脆弱性の修正 —— Nacos のアップグレードと認証の問題の解決

JeecgBoot は Raft の脆弱性を解決するために Nacos をバージョン 2.2.3 にアップグレードします

nacosの初期使用

Ошибка запуска nacos: не задан источник данных

OpenSSH XMSSキー解析整数オーバーフローの脆弱性（CVE-2019-16905）が修正されました

Nacos 2.0が正式にリリースされ、パフォーマンスが大幅に向上しました

Smartbi 認証バイパスの脆弱性

マイクロソフト月例パッチ修理115抜け穴は、漏れてSMBv3の脆弱性が修正されました

nacosパスワードが変更されたため、seataの起動に失敗しました（ソースコード分析）

[緊急] Nacos クラスター Raft デシリアライゼーションの脆弱性

Nginx の Nacos 構成

Nacos—Nacos の紹介と Nacos サーバーのインストール

macOS Ventura 13.5.2 (22G91) 正式版がリリースされ、ゼロデイ脆弱性が修正されました (ISO、IPSW、PKG ダウンロード)

ダブルイレブンショッピングフェスティバル、Nacos 1.4.0 + Go SDK1.0.1がリリースされました

火曜日のパッチ: Microsoft、Adobe、Firefox が悪用されたゼロデイ脆弱性を修正

Linux 6.3 の Nouveau ドライバーの脆弱性が解決されました

Linux sudo特権昇格の脆弱性（CVE-2021-3156）が修正されました

Cisco BroadWorks が重大な認証バイパスの脆弱性の影響を受ける

マイクロサービスプロジェクトがデプロイされた後、Nacos サービスに接続できず、「サーバーチェックに失敗しました」というエラーが報告されます。

クラウドサーバーのリモート nacos サービスの登録に失敗しました/異常ですクライアントが接続されていません、現在のステータス: 開始中

Ivanti、API 認証バイパスの 0day 脆弱性を緊急修復

サーバー polkit pkexec のローカル権限昇格の脆弱性 (CVE-2021-4034) が修正されました

【脆弱性のお知らせ】Apache Taro に爆発的な認証バイパスの脆弱性 CVE-2023-34478、脆弱性レベル：高危険度

nacos启アニメーションサーバーのチェックに失敗しました。サーバーのローカルホストを確認してください。ポート 9848 が利用可能です

すべてのサーバー ([localhost:8848]) が試行された後、API:/nacos/v1/ns/instance を要求できませんでした: ErrCode:503....

おすすめ

Apache Doris バージョン 2.0.10 が正式にリリースされました。

Open Source Daily | 大手モデルが戦争に突入、大手モデルのユニコーンが身売りしていることが明らかに; 最大のオープンソース AI コミュニティが GPU の共有に 1,000 万ドルを提供すると示唆

ランキング

ジャンゴ使用KindEditorアップロード写真

FirstOrDefault VS C＃の検索

SQL UNIONルール

VS Code は HTML スタートアップを実装し、ホットアップデートサービスを提供します

Linux プログラミング: 1. コルーチンの設計原則

目标检测的“尽头”竟是语言建模？Hinton团队提出Pix2Seq：性能优于DETR

CTFdインストールの新バージョン以降の操作および保守について話します

構造体へのポインタ出力4人の学生学生ID名前性別年齢を使用することにより

1.3.2リリース、連続ファイル同期ツールをSyncthing

PyQt5 インストールチュートリアル

アーカイブ

もっと

2024-05-17(6)

2024-05-16(24)

2024-05-15(5)

2024-05-14(9)

2024-05-13(8)

2024-05-12(27)

2024-05-11(31)

2024-05-10(33)

2024-05-09(30)

2024-05-08(18)