探索 Nacos反序列化漏洞CNVD-2023-45001
💡
原文中文,约900字,阅读约需3分钟。
📝
内容提要
Nacos 2.1.0版本存在反序列化缺陷,可能带来严重的安全威胁。已采取修复措施。
🎯
关键要点
-
Nacos 2.1.0版本存在反序列化缺陷,可能带来严重的安全威胁。
-
安全团队发现该缺陷,并已采取修复措施。
-
缝隙编号为CNVD-2023-45001,公开日期为2023-06-08,损害等级为高危。
-
缺陷源于Nacos集群处理Jraft请求时未约束使用hessian进行反序列化。
-
攻击者可通过向7848端口发送恶意数据包利用该缺陷,执行任意远程代码。
-
受影响的产品包括1.4.0到1.4.6版本的Alibaba Nacos和2.0.0到2.2.3版本的任意形式。
-
用户可参考供应商提供的安全公告获取补丁信息。
-
解决方案是将Nacos版本升级到2.2.3。
-
升级过程顺利,数据库无需调整,配置文件有小差异,主要在鉴权参数的默认值上。
-
2.2.3版本默认未开启鉴权,用户需根据官方文档开启并设置鉴权参数。
-
安全是软件开发过程中的重中之重,需重视缺陷修正和安全加固工作。
❓
延伸问答
Nacos 2.1.0版本的反序列化漏洞是什么?
Nacos 2.1.0版本存在反序列化缺陷,攻击者可通过向7848端口发送恶意数据包执行任意远程代码。
如何修复Nacos的反序列化漏洞?
解决方案是将Nacos版本升级到2.2.3,并根据官方文档开启鉴权。
受影响的Nacos版本有哪些?
受影响的版本包括1.4.0到1.4.6的Alibaba Nacos和2.0.0到2.2.3的任意形式。
这个漏洞的公开日期和编号是什么?
漏洞编号为CNVD-2023-45001,公开日期为2023-06-08。
Nacos 2.2.3版本与2.1.0版本的配置文件有什么不同?
主要差异在于鉴权参数的默认值,2.2.3版本默认未开启鉴权。
为什么反序列化漏洞会带来安全威胁?
反序列化漏洞允许攻击者执行任意远程代码,可能导致系统被控制或数据泄露。
➡️
