一、漏洞背景
Nacos是阿里巴巴開源的一個註冊中心和配置中心項目,它為微服務架構提供了服務發現和管理、動態配置管理、服務及流量管理等功能。然而,2019年12月18日,Nacos官方發布了一篇博客,公布了Nacos存在一個嚴重的未授權訪問漏洞(CVE-2019-19781),該漏洞允許攻擊者通過HTTP協議,無需認證即可訪問Nacos Server管理頁面,導致Nacos Server管理許可權被暴露,嚴重危害了Nacos系統的安全性。針對此漏洞,本文將從代碼實現、漏洞影響、修復措施等方面進行詳細介紹。
二、漏洞影響
該漏洞存在於Nacos Server的web管理埠,攻擊者可以在不知道任何用戶名和密碼的情況下,通過以下URL直接訪問Nacos Server的管理頁面:
http://:8848/nacos
攻擊者可以在不受限制的情況下訪問所有API介面,包括管理配置、註冊中心功能等。攻擊者還可以通過此漏洞直接發現當前Nacos環境中的所有服務、配置信息等,造成嚴重安全威脅。
三、修復措施
針對此漏洞,Nacos官方已經緊急修復了該漏洞,並發布了補丁和新版本。如果您使用的是較早版本的Nacos,建議您立即升級到最新版本或應用相應的補丁。具體修復措施如下:
1、升級到最新版本
您可以通過Nacos官網下載最新版本的Nacos Server,並將其部署到您的環境中,從而避免該漏洞對您的系統造成安全威脅。具體步驟如下:
- 從 Nacos Releases 下載最新版本的 Nacos Server。
- 解壓該包。
- 進入解壓後的目錄並執行 bin/startup.sh(bin\startup.cmd) 命令即可啟動 Nacos Server。
啟動成功後,通過如下URL即可訪問Nacos Server的管理頁面:
http://:8848/nacos
2、應用安全補丁
如果您無法立即升級到最新版本,那麼您可以應用安全補丁。根據官方公告提供的修復方案,可通過以下步驟進行操作:
- 進入Nacos Server的lib目錄,下載 jackson-databind-2.9.10.4.jar。
- 刪除Nacos Server的lib目錄中的 jackson-databind-2.9.6.jar。
- 將下載的 jackson-databind-2.9.10.4.jar 拷貝到Nacos Server的lib目錄中。
- 重啟Nacos Server即可應用補丁。
3、其他安全建議
為了保障Server的安全,建議您修改Nacos Server的默認埠、配置防火牆、設置強密碼等措施,提升系統安全性。
四、總結
本文主要介紹了 Nacos 未授權訪問漏洞的漏洞原理、影響和修復方法,鼓勵大家使用Nacos時遵循最佳安全實踐,並修復您的系統中存在的該漏洞。
原創文章,作者:小藍,如若轉載,請註明出處:https://www.506064.com/zh-tw/n/234000.html
微信掃一掃 
支付寶掃一掃 