NACOS漏洞问题及修复(CVE-2021-29441)

目录

1.漏洞相关问题

2.场景复现

2.1访问用户列表界面

2.2添加新用户

2.3再次查看用户列表

3.nacos升级

4.代码升级

---

1.漏洞相关问题

漏洞相关地址

CVE-2021-29441 - Nacos is a platform designed for dynamic service discovery and configuration and service management. - CVE-Searchhttps://cve.circl.lu/cve/CVE-2021-29441

https://github.com/alibaba/nacos/issues/4701https://github.com/alibaba/nacos/issues/4701

https://github.com/advisories/GHSA-36hp-jr8h-556fhttps://github.com/advisories/GHSA-36hp-jr8h-556f

https://github.com/alibaba/nacos/pull/4703https://github.com/alibaba/nacos/pull/4703

影响范围为1.4.1版本之前的nacos

2.场景复现

路径以控制尾部的斜杠'/'

2.1访问用户列表界面

http://127.0.0.1:8848/nacos/v1/auth/users/?pageNo=1&pageSize=9http://127.0.0.1:8848/nacos/v1/auth/users/?pageNo=1&pageSize=9

可以看到不使用鉴权就可以访问到用户信息

2.2添加新用户

http://127.0.0.1:8848/nacos/v1/auth/users/?username=test&password=testhttp://127.0.0.1:8848/nacos/v1/auth/users/?username=test&password=test

成功添加用户

2.3再次查看用户列表

新用户已被添加

 3.4访问首页http://127.0.0.1:8848/nacos/，登录新账号，可以登录

3.nacos升级

前往github nacos下载1.4.1以上版本或者直接使用最新版本

https://github.com/alibaba/nacos/releaseshttps://github.com/alibaba/nacos/releases

按照原来方式重新安装nacos

在新的nacos文件中，在conf目录下，找到数据库升级脚本1.4.0-ipv6_support-update.sql，在nacos配置库中执行该脚本(3.0系统中数据库名应该是jdlh-config)

修改conf目录下的application.properties文件，把原有nacos的数据源迁移到新的nacos配置中

 修改nacos.core.auth.enabled配置为true

修改nacos.core.auth.server.identity.key和nacos.core.auth.server.identity.value值为自定义值

nacos.core.auth.server.identity.key=jdlh

nacos.core.auth.server.identity.value=jdlh_nacos_security123!

 再次使用2.场景复现测试

4.代码升级

方法一：

把项目中各个工程的bootstrap.yml中cloud.nacos层级下添加username和password

username和password为登录nacos的账号和密码，务必重新创建nacos账号并删除默认的nacos账号

password: nacos

username: nacos

项目可以成功启动，并成功注册，重新打包并发布项目

 

 修复完成。

投稿人：流云断空       验证人：暗黑低语者       编   辑：Viky Wu