关注JEECG发展历程 关注最新动态和版本, 记录JEECG成长点滴 更新日志 - 技术支持 - 招聘英才

JEECG最新版本下载 JEECG智能开发平台 - 显著提高开发效率 常见问题 - 入门视频 - 参与开源团队

商务QQ: 69893005、3102411850 商务热线(5*8小时): 010-64808099 官方邮箱: jeecgos@163.com

查看: 509|回复: 0

JeecgBoot升级Nacos至 2.2.3 版本解决raft漏洞问题

[复制链接]
发表于 2023-7-17 10:56:48 | 显示全部楼层 |阅读模式
问题描述
Nacos 老版本发现有 raft 漏洞,直接升级最新版 2.2.3 解决问题。

升级步骤

一、修改pom
  • 路径:jeecg-server-cloud/jeecg-cloud-nacos/pom.xml
  • 目前新依赖还未上传到maven官仓,请配置 jeecg私服
  1. <?xml version="1.0" encoding="UTF-8"?>
  2. <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  3.          xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
  4.     <modelVersion>4.0.0</modelVersion>
  5.     <artifactId>jeecg-cloud-nacos</artifactId>
  6.     <name>jeecg-cloud-nacos</name>
  7.     <description>nacos启动模块</description>
  8.     <version>3.5.2</version>

  9.     <parent>
  10.         <groupId>org.springframework.boot</groupId>
  11.         <artifactId>spring-boot-starter-parent</artifactId>
  12.         <version>2.6.14</version>
  13.         <relativePath/>
  14.     </parent>

  15.     <repositories>
  16.         <repository>
  17.             <id>aliyun</id>
  18.             <name>aliyun Repository</name>
  19.             <url>https://maven.aliyun.com/repository/public</url>
  20.             <snapshots>
  21.                 <enabled>false</enabled>
  22.             </snapshots>
  23.         </repository>
  24.         <repository>
  25.             <id>jeecg</id>
  26.             <name>jeecg Repository</name>
  27.             <url>https://maven.jeecg.org/nexus/co ... s/jeecg</url>
  28.             <snapshots>
  29.                 <enabled>false</enabled>
  30.             </snapshots>
  31.         </repository>
  32.     </repositories>

  33.     <properties>
  34.         <log4j2.version>2.17.0</log4j2.version>
  35.     </properties>
  36.    
  37.     <dependencies>
  38.         <dependency>
  39.             <groupId>org.apache.tomcat.embed</groupId>
  40.             <artifactId>tomcat-embed-jasper</artifactId>
  41.         </dependency>
  42.         <dependency>
  43.             <groupId>org.springframework.boot</groupId>
  44.             <artifactId>spring-boot-starter-security</artifactId>
  45.         </dependency>
  46.         <dependency>
  47.             <groupId>org.jeecgframework.nacos</groupId>
  48.             <artifactId>nacos-naming</artifactId>
  49.             <version>2.2.3</version>
  50.         </dependency>
  51.         <dependency>
  52.             <groupId>org.jeecgframework.nacos</groupId>
  53.             <artifactId>nacos-istio</artifactId>
  54.             <version>2.2.3</version>
  55.         </dependency>
  56.         <dependency>
  57.             <groupId>org.jeecgframework.nacos</groupId>
  58.             <artifactId>nacos-config</artifactId>
  59.             <version>2.2.3</version>
  60.         </dependency>
  61.         <dependency>
  62.             <groupId>org.jeecgframework.nacos</groupId>
  63.             <artifactId>nacos-console</artifactId>
  64.             <version>2.2.3</version>
  65.         </dependency>
  66.     </dependencies>

  67.     <build>
  68.         <plugins>
  69.             <plugin>
  70.                 <groupId>org.springframework.boot</groupId>
  71.                 <artifactId>spring-boot-maven-plugin</artifactId>
  72.             </plugin>
  73.         </plugins>
  74.     </build>

  75. </project>
复制代码

二、升级Nacos数据库,执行升级脚本
  1. ALTER TABLE config_info ADD encrypted_data_key varchar(255) DEFAULT NULL COMMENT '加密key';
  2. ALTER TABLE his_config_info ADD encrypted_data_key varchar(255) DEFAULT NULL COMMENT '加密key';
  3. ALTER TABLE config_info_beta ADD encrypted_data_key varchar(255) DEFAULT NULL COMMENT '加密key';
  4. ALTER TABLE config_info_tag ADD encrypted_data_key varchar(255) DEFAULT NULL COMMENT '加密key';
复制代码

三、启动Nacos项目完成升级
升级完成,就这么简单。

四、漏洞说明

一、具体说明

Nacos是一个易于使用的动态服务发现、配置和服务管理平台,用于构建云原生应用程序。

近日Nacos发布更新版本,修复了一个反序列化漏洞。由于Nacos集群处理部分Jraft请求时,未限制使用hessian进行反序列化,可能导致远程代码执行。但该漏洞仅影响7848端口(默认设置下),一般使用时该端口为Nacos集群间Raft协议的通信端口,不承载客户端请求,因此可以通过禁止该端口来自Nacos集群外部的请求来进行缓解。


目前该漏洞已经修复,受影响用户可更新到Nacos 版本1.4.6或2.2.3。


二、影响范围

1.4.0<=Nacos版本<1.4.6

2.0.0<=Nacos版本<2.2.3


三、参考博客




您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表