问题描述Nacos 老版本发现有 raft 漏洞,直接升级最新版 2.2.3 解决问题。
升级步骤
一、修改pom- 路径:jeecg-server-cloud/jeecg-cloud-nacos/pom.xml
- 目前新依赖还未上传到maven官仓,请配置 jeecg私服
- <?xml version="1.0" encoding="UTF-8"?>
- <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
- xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
- <modelVersion>4.0.0</modelVersion>
- <artifactId>jeecg-cloud-nacos</artifactId>
- <name>jeecg-cloud-nacos</name>
- <description>nacos启动模块</description>
- <version>3.5.2</version>
- <parent>
- <groupId>org.springframework.boot</groupId>
- <artifactId>spring-boot-starter-parent</artifactId>
- <version>2.6.14</version>
- <relativePath/>
- </parent>
- <repositories>
- <repository>
- <id>aliyun</id>
- <name>aliyun Repository</name>
- <url>https://maven.aliyun.com/repository/public</url>
- <snapshots>
- <enabled>false</enabled>
- </snapshots>
- </repository>
- <repository>
- <id>jeecg</id>
- <name>jeecg Repository</name>
- <url>https://maven.jeecg.org/nexus/co ... s/jeecg</url>
- <snapshots>
- <enabled>false</enabled>
- </snapshots>
- </repository>
- </repositories>
- <properties>
- <log4j2.version>2.17.0</log4j2.version>
- </properties>
-
- <dependencies>
- <dependency>
- <groupId>org.apache.tomcat.embed</groupId>
- <artifactId>tomcat-embed-jasper</artifactId>
- </dependency>
- <dependency>
- <groupId>org.springframework.boot</groupId>
- <artifactId>spring-boot-starter-security</artifactId>
- </dependency>
- <dependency>
- <groupId>org.jeecgframework.nacos</groupId>
- <artifactId>nacos-naming</artifactId>
- <version>2.2.3</version>
- </dependency>
- <dependency>
- <groupId>org.jeecgframework.nacos</groupId>
- <artifactId>nacos-istio</artifactId>
- <version>2.2.3</version>
- </dependency>
- <dependency>
- <groupId>org.jeecgframework.nacos</groupId>
- <artifactId>nacos-config</artifactId>
- <version>2.2.3</version>
- </dependency>
- <dependency>
- <groupId>org.jeecgframework.nacos</groupId>
- <artifactId>nacos-console</artifactId>
- <version>2.2.3</version>
- </dependency>
- </dependencies>
- <build>
- <plugins>
- <plugin>
- <groupId>org.springframework.boot</groupId>
- <artifactId>spring-boot-maven-plugin</artifactId>
- </plugin>
- </plugins>
- </build>
- </project>
二、升级Nacos数据库,执行升级脚本
- ALTER TABLE config_info ADD encrypted_data_key varchar(255) DEFAULT NULL COMMENT '加密key';
- ALTER TABLE his_config_info ADD encrypted_data_key varchar(255) DEFAULT NULL COMMENT '加密key';
- ALTER TABLE config_info_beta ADD encrypted_data_key varchar(255) DEFAULT NULL COMMENT '加密key';
- ALTER TABLE config_info_tag ADD encrypted_data_key varchar(255) DEFAULT NULL COMMENT '加密key';
三、启动Nacos项目完成升级
四、漏洞说明一、具体说明 Nacos是一个易于使用的动态服务发现、配置和服务管理平台,用于构建云原生应用程序。 近日Nacos发布更新版本,修复了一个反序列化漏洞。由于Nacos集群处理部分Jraft请求时,未限制使用hessian进行反序列化,可能导致远程代码执行。但该漏洞仅影响7848端口(默认设置下),一般使用时该端口为Nacos集群间Raft协议的通信端口,不承载客户端请求,因此可以通过禁止该端口来自Nacos集群外部的请求来进行缓解。
目前该漏洞已经修复,受影响用户可更新到Nacos 版本1.4.6或2.2.3。
二、影响范围 1.4.0<=Nacos版本<1.4.6 2.0.0<=Nacos版本<2.2.3
三、参考博客
| 
窥视卡
雷达卡
发表于 2023-7-17 10:56:48
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡