CVE-2021-29441: Alibaba Nacos User-Agent 存在鉴权绕过)
(修复方案)CVE-2021-29441: Alibaba Nacos User-Agent 存在鉴权绕过
- 1. 升级 Nacos 版本
- 2. 修改配置文件
以下修复方案 1 和 2 必须同时执行
1. 升级 Nacos 版本
该漏洞受影响版本:
- Nacos ≤ 2.0.0-ALPHA.1(ALPHA是预发布版本)
- Nacos < 1.4.1(即 1.4.0 及更早版本)
故要升级到 1.4.1 或 2.0.0 正式版以上
参照官方文档重新部署或执行升级操作即可:
https://nacos.io/zh-cn/docs/v2/upgrading/2.0.0-upgrading.html
2. 修改配置文件
在 application.properties 或 nacos.properties 文件中添加:
# 开启鉴权nacos.core.auth.enabled=true# 禁止 Nacos 使用 Nacos-Server 作为绕过鉴权的白名单 UAnacos.core.auth.enable.userAgentAuthWhite=false# 这两个配置项是 Nacos 1.4.1+ 用来替代老的 User-Agent 白名单鉴权的# 注意:所有 Nacos 节点都要配置相同的 key/value,否则集群内通信会失败# key可以自定义,value 要足够随机、复杂,避免被暴力猜测nacos.core.auth.server.identity.key=自定义值 nacos.core.auth.server.identity.value=自定义值之后重启 Nacos 让配置生效
云原生部署实战:Docker 镜像瘦身 × K8s 部署 × Helm 一键发布)
