问题描述
Nacos 老版本发现有 raft 漏洞,直接升级最新版 2.2.3 解决问题。
升级步骤
一、修改pom
- 路径:
jeecg-server-cloud/jeecg-cloud-nacos/pom.xml 目前新依赖还未上传到maven官仓,请配置 jeecg私服
4.0.0 jeecg-cloud-nacos jeecg-cloud-nacos nacos启动模块 3.5.2 org.springframework.boot spring-boot-starter-parent 2.6.14 aliyun aliyun Repository https://maven.aliyun.com/repository/public false jeecg jeecg Repository https://maven.jeecg.org/nexus/content/repositories/jeecg false 2.17.0 org.apache.tomcat.embed tomcat-embed-jasper org.springframework.boot spring-boot-starter-security org.jeecgframework.nacos nacos-naming 2.2.3 org.jeecgframework.nacos nacos-istio 2.2.3 org.jeecgframework.nacos nacos-config 2.2.3 org.jeecgframework.nacos nacos-console 2.2.3 org.springframework.boot spring-boot-maven-plugin
二、升级Nacos数据库,执行升级脚本
ALTER TABLE config_info ADD encrypted_data_key varchar(255) DEFAULT NULL COMMENT '加密key';
ALTER TABLE his_config_info ADD encrypted_data_key varchar(255) DEFAULT NULL COMMENT '加密key';
ALTER TABLE config_info_beta ADD encrypted_data_key varchar(255) DEFAULT NULL COMMENT '加密key';
ALTER TABLE config_info_tag ADD encrypted_data_key varchar(255) DEFAULT NULL COMMENT '加密key';三、启动Nacos项目完成升级
升级完成,就这么简单。
四、漏洞说明
一、具体说明
Nacos是一个易于使用的动态服务发现、配置和服务管理平台,用于构建云原生应用程序。
近日Nacos发布更新版本,修复了一个反序列化漏洞。由于Nacos集群处理部分Jraft请求时,未限制使用hessian进行反序列化,可能导致远程代码执行。但该漏洞仅影响7848端口(默认设置下),一般使用时该端口为Nacos集群间Raft协议的通信端口,不承载客户端请求,因此可以通过禁止该端口来自Nacos集群外部的请求来进行缓解。
目前该漏洞已经修复,受影响用户可更新到Nacos 版本1.4.6或2.2.3。
二、影响范围
1.4.0<=Nacos版本<1.4.6
2.0.0<=Nacos版本<2.2.3
三、参考博客