В области разработки программного обеспечения уязвимости безопасности являются важной проблемой, которую нельзя игнорировать. Недавно наша команда безопасности обнаружила уязвимость десериализации, затрагивающую нашу версию Nacos 2.1.0, которая может представлять серьезную угрозу безопасности. Мы приняли незамедлительные меры по исправлению ситуации. В этой статье мы подробно рассмотрим, как работают эти уязвимости, их возможные последствия и способы их устранения.

Подробности об уязвимости

• Дата публикации: 8 июня 2023 г.
• лазейкисерийный номер：CNVD-2023-45001
• Уровень опасности: высокий риск
• лазейки Описание: Лазейки происходят из Nacos кластер Процессорная часть Jraft По запросу использование не ограничивается hessian Провести антисериализацию, в связи с Nacos Прослушивание по умолчанию 7848 Портовая обработка Raft запрос протокола, злоумышленник может запросить 7848 Порт отправляет вредоносные пакеты, использующие этот порт, в конечном итоге выполняющие произвольный удаленный код.
• лазейкиInfluence Products 1.4.0 <= Alibaba Nacos < 1.4.6 Запуск в режиме кластеркластера 2.0.0 <= Alibaba Nacos < 2.2.3 Запуск в любом режиме
• лазейки Советы по утилизации Пользователи могут обратиться к объявлению «Безопасность», предоставленному следующими поставщиками, чтобы получить информацию об исправлениях: https://github.com/alibaba/nacos/releases/tag/2.2.3/

Методы устранения уязвимостей

Мы используем версию nacos:2.1.0, запущенную в режиме кластера, которая также находится в зоне действия этой уязвимости. Наше решение — обновить версию nacos до 2.2.3. Адрес загрузки: https://github.com/alibaba/nacos/releases/tag/2.2.3

Ниже приведены официальные инструкции для версии 2.2.3:

На этот раз обновление прошло относительно гладко. Нам не потребовалось вносить какие-либо изменения в базу данных. В файлах конфигурации между версиями 2.2.3 и 2.1.0 все еще были небольшие различия. Основное внимание уделяется значениям параметров аутентификации по умолчанию. 2.2.3 Аутентификация не включена по умолчанию. Нам нужно только включить аутентификацию по официальным документам, а затем задать параметры аутентификации. Адрес документа: https://nacos.io/zh-cn/docs/v2/guide/user/auth.html.

Подвести итог

Безопасность является главным приоритетом в процессе разработки программного обеспечения, поэтому работе по устранению уязвимостей и усилению безопасности следует уделять все внимание. Что касается уязвимости десериализации Nacos, нам следует принять своевременные меры по устранению уязвимости и обеспечению безопасной и стабильной работы системы.