去年部署了单机模式的 nacos 并开放了公网,然后今天才发现在 520 有一个陌生的配置写进来了, dataId=nacos.cfg.dataIdfoo ,配置内容为 helloworld ip 是美国的
google 了一下“nacos.cfg.dataIdfoo”,发现了 nacos 存在鉴权绕过的漏洞,《 GHSL-2020-325: Authentication bypass in Nacos - CVE-2021-29441, CVE-2021-29442 》
在 github 仓库也发现了对应的 issue ,Report a security vulnerability in nacos to bypass authentication
并且论坛也曾经有人讨论过,nacos 出现严重安全漏洞
这个漏洞 21 年就被发现了,然而我去年在根据文档部署的时候,丝毫没有注意到关于该鉴权的强调,刚刚回头去看了眼文档,在[权限认证]的子栏目,才发现上面赫然写着:
Nacos 是一个内部微服务组件,需要在可信的内部网络中运行,不可暴露在公网环境,防止带来安全风险。
只好赶忙把 nacos 服务下掉了,如果有兄弟们部署了最好自查一下。
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.