Nacos: NACOS访问漏洞临时处理

Created on 13 Jan 2021  ·  5Comments  ·  Source: alibaba/nacos

Describe the bug
最近发布的关于User-Agent的漏洞我们发现在代码中有个filter检测到位Nacos-Server便直接放过了,在没有出补丁之前我们将这个filter屏蔽了可否?或者有其他的临时处理建议吗?

Expected behavior
A clear and concise description of what you expected to happen.

Acutally behavior
A clear and concise description of what you actually to happen.

How to Reproduce
Steps to reproduce the behavior:

  1. Go to '...'
  2. Click on '....'
  3. Scroll down to '....'
  4. See error

Desktop (please complete the following information):

  • OS: [e.g. Centos]
  • Version [e.g. nacos-server 1.3.1, nacos-client 1.3.1]
  • Module [e.g. naming/config]
  • SDK [e.g. original, spring-cloud-alibaba-nacos, dubbo]

Additional context
Add any other context about the problem here.

kinquestion

All 5 comments

这个Filter屏蔽了鉴权功能就没了。如果觉得该问题影响很大,可以参考PR#4683 先自行修改。
过两天应该会发布新版本,新版本会有一种自定义的方式可以勉强解决这个问题。届时升级版本即可。

我们现在使用的是1.3.0版本,修复版本是否必须升级1.4.0版本才能解决吗?是否有打补丁的方式解决呢?此外能否告知一下新版本的具体时间呢,非常感谢

必须升级到1.4.1版本。补丁看后续社区意愿。

1.4.1版本已发布,请尽快升级。

配置中心存的都是配置信息,都是api secret 或者密码啥的,这个有打算加feature去加密吗?数据库直接存全公司配置明文信息,太敏感了。

Was this page helpful?
0 / 5 - 0 ratings

Related issues

mark-wk picture mark-wk  ·  7Comments

duwei54 picture duwei54  ·  7Comments

xuyixun21 picture xuyixun21  ·  6Comments

837414750 picture 837414750  ·  4Comments

bilaisheng picture bilaisheng  ·  6Comments