名称 | 版本号 |
Nacos | <= v2.4.0 BETA, <= v2.3.2 截止2024.7.16,最新测试版本2.4.0、最新稳定版本2.3.2均受影响 |
根据Nacos官方文档,2.2.2版本之前的Nacos默认控制台,无论服务端是否开启鉴权,都会存在一个登录页;这导致很多用户被误导认为Nacos默认是存在鉴权的。Nacos从2.2.2版本开始,在未开启鉴权时,默认控制台不需要登录即可访问。经测2.2.2之前的2.2.1版本默认配置虽存在登录页,但问题接口仍暴漏在外,仍可成功利用漏洞。
3.1 官方修复方法
3.2 人工缓解方法
3.2.1 开启鉴权
3.2.1.1 非Docker环境
开启鉴权之后,application.properties中的配置信息为:
3.2.1.2 Docker环境
官方镜像
在启动docker容器时,添加如下环境变量
例如,可以采用如下命令行启动开启鉴权的docker环境
自定义镜像
自定义镜像,请在构建镜像之前,修改nacos工程中的application.properties文件,
将下面这一行配置信息
3.2.2 设置强密码
将后台登录密码修改为强密码,该漏洞执行依赖于后台权限。
3.3 使用安天安全产品加强检测防御能力
3.3.1 安天镇关下一代WEB应用防护系统
针对上述漏洞,安天镇关下一代WEB应用防护系统已发布规则升级包,具备该漏洞的检测与防御能力,请相关用户升级规则包至最新版,以形成安全防御能力。
【产品升级包版本号】
Sigdb-V2-1000-102
【产品升级包链接】
http://iepupdate.antiy.cn/update_list/Gettoollist
3.3.2 安天睿甲主机安全检测响应系统
3.3.3 安天探海威胁检测系统
针对上述漏洞,安天探海威胁检测系统已发布规则升级包,具备该漏洞检测/防御能力,请相关用户升级规则包至最新版,以形成安全产品检测能力。
【产品升级包版本号】
探海威胁检测系统网络行为检测引擎(AVLX)
更新日期2024.07.15
md5 814EA49144E15826564D9CD3892FD0B2
【产品升级包链接】
https://iepupdate.antiy.cn/update_list/Gettoollist
本安全公告仅用来描述可能存在的安全问题,安天不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,安天以及安全公告作者不为此承担任何责任。
安天拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经安天允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
5.1 Nacos 文档
https://nacos.io/zh-cn/docs/v2/guide/user/auth.html
5.2 关于安天探海产品
安天探海威胁检测系统是安天自主研发的能力型网络威胁检测和响应设备,核心定位为能力型流量威胁检测和响应(NDR)产品。以旁路接入的方式,在不影响用户网络业务的前提下,实时检测镜像流量,帮助用户发现网络威胁、预警网络安全事件,同时支撑用户网络安全应急响应工作。
5.3 关于安天睿甲产品
安天睿甲主机安全检测响应系统融合CWPP云工作负载保护平台理念,针对传统IDC、云上业务场景中各工作负载的安全防护需求,采用“一个探针集成多种安全能力”架构,提供资产清点、风险发现、合规基线、微隔离、入侵检测、容器安全、威胁猎杀/溯源等多种安全能力,构建综合安全监测、安全分析、快速响应的安全防护平台。
5.4 关于安天镇关产品
安天镇关下一代WEB应用防护系统从用户自身的业务安全出发,通过对关键业务进行安全加固、数据动态变化封装、客户端环境主动探测,为用户系统提供主动防护。通过攻击诱捕、业务混淆、威胁情报集成、访问追踪等多种手段,系统能够有效检测和防御各种攻击注入、信息窃取、页面恶意篡改、账号暴力破解、账号批量注册等攻击行为。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...