探索 Nacos反序列化漏洞CNVD-2023-45001
💡
原文中文,约900字,阅读约需3分钟。
📝
内容提要
Nacos 2.1.0版本存在反序列化缺陷,可能带来严重的安全威胁。已采取修复措施。
🎯
关键要点
- Nacos 2.1.0版本存在反序列化缺陷,可能带来严重的安全威胁。
- 安全团队发现该缺陷,并已采取修复措施。
- 缝隙编号为CNVD-2023-45001,公开日期为2023-06-08,损害等级为高危。
- 缺陷源于Nacos集群处理Jraft请求时未约束使用hessian进行反序列化。
- 攻击者可通过向7848端口发送恶意数据包利用该缺陷,执行任意远程代码。
- 受影响的产品包括1.4.0到1.4.6版本的Alibaba Nacos和2.0.0到2.2.3版本的任意形式。
- 用户可参考供应商提供的安全公告获取补丁信息。
- 解决方案是将Nacos版本升级到2.2.3。
- 升级过程顺利,数据库无需调整,配置文件有小差异,主要在鉴权参数的默认值上。
- 2.2.3版本默认未开启鉴权,用户需根据官方文档开启并设置鉴权参数。
- 安全是软件开发过程中的重中之重,需重视缺陷修正和安全加固工作。
➡️
