spring 微服务nacos未授权访问漏洞修复

这篇具有很好参考价值的文章主要介绍了spring 微服务nacos未授权访问漏洞修复。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。


近来,公司系统做安全渗透又被扫描出了nacos漏洞问题。报告已对漏洞进行了说明:
Nacos是一个为动态服务发现和配置以及服务管理而设计的平台。Nacos如果没有配置认证管理,攻击者可以在无需授权的情况下获取敏感信息。
公司系统使用版本为2.0.3。不支持进行认证管理,所以解决办法就是升级nacos版本到2.0.4。需要注意,升级nacos版本外,还需要调整微服中的一些配置。

1 nacos 版本升级

1.1 nacos 2.0.4下载。

到nacos官网下载2.04版本。

1.2 解压

下载后上传至原来服务器,备份原有nacos。再停nacos服务。解压到原有nacos路径下,直接覆盖原有版本。

1.3 配置文件修改

修改nacos_home/application.properties。
开启权限认证。

  nacos.core.auth.enabled=true

spring 微服务nacos未授权访问漏洞修复

1.4 nacos启动

启动nacos,在nacos/bin目录下。

  ./ startup.sh

1.5 nacos升级验证

进入nacos管理页面。看到nacos已经升级到2.0.4.
spring 微服务nacos未授权访问漏洞修复

2 微服务升级

2.1 maven pom文件修改

将微服务中涉及nacos依赖同步进行修改。

<spring-cloud.version>Greenwich.SR4</spring-cloud.version>
<alibaba-cloud.version>2.1.1.RELEASE</alibaba-cloud.version>
<spring-boot.version>2.1.10.RELEASE</spring-boot.version>
<dependency>
    <groupId>com.alibaba.nacos</groupId>
    <artifactId>nacos-client</artifactId>
    <version>1.4.0</version>
</dependency>

修改为

<spring-cloud.version>Greenwich.SR6</spring-cloud.version>
<alibaba-cloud.version>2.1.4.RELEASE</alibaba-cloud.version>
<spring-boot.version>2.1.13.RELEASE</spring-boot.version>
<nacos-client.version>1.4.1</nacos-client.version>

<dependency>
    <groupId>com.alibaba.nacos</groupId>
    <artifactId>nacos-client</artifactId>
    <version>${nacos-client.version}</version>
</dependency>

2.2 修改bootstrap.yml

在bootstrap.yml 中添加nacos用户密码。
config 和 discovery 新增,用于权限认证的参数(用户名和密码和nacos登录的用户名密码保持一致):

		username: nacos
		password: nacos
		group: DEFAULT_GROUP

2.3 重启微服务

重启涉及nacos配置相关的微服务文章来源地址https://www.toymoban.com/news/detail-495031.html

到了这里,关于spring 微服务nacos未授权访问漏洞修复的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Nacos未授权访问漏洞

    Nacos 的官网地址为: https://nacos.io 它是阿里开源的 SpringCloud Alibaba 项目下的一项技术,可以实现服务注册中心、分布式配置中心。 一般来说,nacos被建议部署在内网中,如果在外网出现,会有很大的风险。 访问nacos页面,发现是登录页面,可以先尝试使用弱口令,nacos/nacos 尝

    2024年02月09日
    浏览(45)
  • ElasticSearch9200端口未授权访问漏洞修复

    ElasticSearch 是一款Java编写的企业级搜索服务,启动此服务默认会开放HTTP-9200端口,可被非法操作数据。 例如 ip:9200/_cat可以直接访问等。。 高危 9200端口不对外开放,如需开放,需在安全组限制只允许指定IP才能访问9200端口 // accept // drop // 保存规则 重启iptables 这就成功了,亲

    2024年02月11日
    浏览(51)
  • 【漏洞】【Druid】Druid未授权访问漏洞,修复方案。springboot

    漏洞描述: Druid是阿里巴巴数据库出品的,为监控而生的数据库连接池,并且Druid提供的监控功能,监控SQL的执行时间、监控Web URI的请求、Session监控,首先Druid是不存在什么漏洞的。但当开发者配置不当时就可能造成未授权访问。 解决建议: 修改中间件配置 给出的例子,

    2024年02月11日
    浏览(53)
  • MongoDB未授权访问漏洞验证与修复过程

    环境:Windows,MongoDB3.2 本文是Windows!Windows!Windows!环境下 可以看到该ip存在MongoDB未授权访问漏洞,没有进行身份验证 可以看到连接被拒绝

    2024年02月11日
    浏览(41)
  • Nacos未授权访问漏洞(CVE-2021-29441)

    声明:本文仅供学习参考,其中涉及的一切资源均来源于网络,请勿用于任何非法行为,否则您将自行承担相应后果,本人不承担任何法律及连带责任。加粗样式 Nacos 是阿里巴巴推出来的一个新开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平

    2024年02月07日
    浏览(59)
  • Spring Boot Actuator未授权访问漏洞

    Spring Boot Actuator 端点的未授权访问漏洞是一个安全性问题,可能会导致未经授权的用户访问敏感的应用程序信息。 可是并不用太过担心,Spring Boot Actuator 默认暴漏的信息有限,一般情况下并不会暴露敏感数据。 注册中心有些功能集成了actuator,如果同时使用eureka和actuator,可

    2024年02月13日
    浏览(41)
  • spring boot未授权访问及Swagger漏洞处理

    无需修改源码,处理spring boot未授权访问及Swagger漏洞处理 风险程度 :【高危】 漏洞概述 : 未授权访问可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷,导致其他用户可以直接访问,从而引发重要权限可被操作、数据库、网站目录等敏感信息泄露。登陆验证一

    2024年02月16日
    浏览(41)
  • 如何解决 Spring Boot Actuator 的未授权访问漏洞

    Spring Boot Actuator  的作用是提供了一组管理和监控端点,允许你查看应用程序的运行时信息,例如健康状态、应用程序信息、性能指标等。这些端点对于开发、 测试  和运维团队来说都非常有用,可以帮助快速诊断问题、监控应用程序的性能,并采取必要的措施来维护和管理

    2024年02月07日
    浏览(37)
  • 谨防利用Redis未授权访问漏洞入侵服务器

    Redis是一个开源的,由C语言编写的高性能NoSQL数据库,因其高性能、可扩展、兼容性强,被各大小互联网公司或个人作为内存型存储组件使用。 但是其中有小部分公司或个人开发者,为了方便调试或忽略了安全风险,直接用root启动redis,没有设置密码并直接对外开放了6379端口

    2024年02月05日
    浏览(44)
  • 解决BladeX微服务Swagger资源未授权访问漏洞

    客户线上环境,第三方进行安全检测时候,反馈来一个\\\"Spring\\\"接口未授权访问漏洞。如图: 服务平台后端采用开源框架BladeX微服务版本。BladeX 是由一个商业级项目升级优化而来的SpringCloud微服务架构,采用Java8 API重构了业务代码,完全遵循阿里巴巴编码规范。采用Spring Boot

    2024年04月17日
    浏览(35)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包