中文

关于Nacos身份验证漏洞修复建议


近期Nacos社区收到关于Nacos鉴权功能通过UA绕过身份验证安全漏洞的问题。社区在1.4.1版本已进行了修复。用户可以自定义server identity来设置服务端之间通信的安全认证,不再简单使用UA进行认证。

在1.4.1发布之后,立刻收到了社区安全工程师的另一个使用相同语意的特殊url绕过身份验证的漏洞,于是社区立刻对其进行了修复,并进行了1.4.1版本的hotfix。

请用户尽快升级至最新的1.4.1版本(2021.01.15 release),并根据文档进行升级及修复。

十分抱歉给广大Nacos用户造成了困扰和问题。

download page.

document.

关于Nacos的部署建议

Nacos 定义为一个应用服务发现和配置管理中间件服务,这类应用一般应该部署于内部网络环境,因此不建议用户将Nacos暴露在公网环境

即使升级到1.4.1版本,也请不要暴露在公网环境使用。

感谢社区

在此首先感谢本次为Nacos提出安全问题的工程师,感谢Nacos社区的大家对Nacos的意见,讨论和鞭策。

Nacos的发展离不开社区,希望社区能够有更多优秀的工程师加入,参与共建,让Nacos变得更好更安全。

最后,再次为本次的漏洞问题给大家造成的困扰和麻烦道歉。感谢大家的谅解与宽容。

关于安全漏洞的报告

由于安全漏洞的issue比较特殊,希望后续社区的安全工程师能够通过ASRC(Alibaba Security Response Center阿里安全响应中心) 告知漏洞。