Nacos 1.4.1 发布,修复指定特殊 UA 可绕过所有鉴权的安全漏洞

栏目: 软件资讯 · 发布时间: 3年前

内容简介:Nacos 1.4.1 已发布,此版本的主要新功能是支持 IPv6 服务注册,以及为 Csharp 客户端提供 UDP push 支持。 更值得关注的是,1.4.1 版本解决了此前被曝出的绕过鉴权的安全漏洞 (#4593)。release note 写到,增加服...

Nacos 1.4.1 已发布,此版本的主要新功能是支持 IPv6 服务注册,以及为 Csharp 客户端提供 UDP push 支持。

更值得关注的是,1.4.1 版本解决了此前被曝出的绕过鉴权的安全漏洞 (#4593)。release note 写到,增加服务器身份认证以替代 UA 白名单模式。

开发者@threedr3am半个月前向 nacos 提交 issue 反馈了一个可以绕过鉴权的安全漏洞(出于安全考虑,提交者已删除此 issue 内容,具体的漏洞描述已无法查看)。

从上下文来推测,此漏洞大概是在 nacos 中使用特殊的 UA 即可忽略鉴权——从而绕过了鉴权机制。维护者回复称,这个特殊 UA 用于服务间通信鉴权白名单,由于是白名单模式,所以会忽略鉴权,而且这是服务端之间的通信鉴权,不会推荐用户直接使用,因此并没在文档进行描述。

Nacos 1.4.1 发布,修复指定特殊 UA 可绕过所有鉴权的安全漏洞

Nacos 1.4.1 发布,修复指定特殊 UA 可绕过所有鉴权的安全漏洞

issue 的回复显示,nacos 从 1.2.0 开始增加了鉴权功能,所以建议使用 1.2.0 及以上版本的用户升级至最新的 1.4.1。

Nacos 1.4.1 发布,修复指定特殊 UA 可绕过所有鉴权的安全漏洞

nacos 1.4.1 发布后,开发者@threedr3am又发现了一个能绕过鉴权的机制 (#4701),nacos 维护者确认后在 1.4.1 基础上进行 hotfix 解决了此问题。

Nacos 1.4.1 发布,修复指定特殊 UA 可绕过所有鉴权的安全漏洞

建议用户直接下载最新的 1.4.1 版本进行部署升级。

下载地址:https://github.com/alibaba/nacos/releases/tag/1.4.1


以上所述就是小编给大家介绍的《Nacos 1.4.1 发布,修复指定特殊 UA 可绕过所有鉴权的安全漏洞》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Effective Modern C++

Effective Modern C++

Scott Meyers / O'Reilly Media / 2014-12 / USD 49.99

Learn how to program expertly with C++ with this practical book from Scott Meyers, one of the world's foremost authorities on this systems programming language. Scott Meyers takes some of the most dif......一起来看看 《Effective Modern C++》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

在线进制转换器
在线进制转换器

各进制数互转换器

Base64 编码/解码
Base64 编码/解码

Base64 编码/解码