留下后门吗? Nacos原子弹爆炸中存在重大的旁路认证安全漏洞!
2021年1月15日,昨天,Nacos发布了新版本1.4.1。 此版本推出了许多新功能和增强功能。
此次发布的新版本有很多变化,大小有几十个issue。
在此版本之前,被网民发现的绕过用户代理的安全漏洞在此版本中也得到了修复! 3359 github.com/Alibaba/nacos/issues/4701中提到的旁路认证(身份)问题的影响范围很广!
在以前的版本中,如果Nacos启用了serverIdentity自定义密钥验证。 特殊的url结构可以避免对http接口的访问限制。
让我给你看看漏洞的再现步骤。
首先,访问用户列表界面。
curlxget ' http://127.0.0.1:8848/nacos/v1/auth/users/pageno=1pagesize=9--path-as-is '未登录的常规
但是,实际上,在此请求中添加特殊的header可以绕过验证并返回用户列表数据。
{'totalCount':1,' pageNumber':1,' pagesAvailable':1, ' page items ' 3360 [ { ' username ' : ' nacce ] ' password ' : ' $ 2a $ 10 $ euwpzhzz 32 djn7jexm 34 moeyirddfazm2kuw j7 veooo
Curl-xpost ' http://127.0.0.1:8848/nacos/v1/auth/users/username=test password=test-- path-as-is ' 回答。
{ '代码' :200,'消息' : '创建用户!' ,重新获取' data':null}用户列表,即可获取刚才添加的用户信息。
根据刚才添加的用户信息,可以成功登录Nacos后台管理系统。 执行所有操作。
问题的原因是开发人员逻辑不完善,考虑不充分。
在自动过滤器中,本应该被阻止回来的url被释放了。
目前,有两种解决这一漏洞的办法。 一是升级到最新版本1.4.1。 或打开认证,关闭现有UA白名单的工作原理。
nacos.core.auth.enabled=true nacos.core.auth.enable.useragentauthwhite=false nacos.core.auth.server.id
现在,Nacos被很多网友骂了。
就连前两个快速强森也不放过。
Fastjson的作者,公开发文,我的心永远痛!
阿里巴巴fastjson又钻了两个洞!
为什么FastJson火不上,海外的人不用?
坑爹fastjson又成黑洞了! 这次危害可能会瘫痪服务!
对此,你们怎么看? 请在评论中称赞你的感想!