文档

【Nacos安全风险说明】关于Nacos默认token.secret.key风险说明

更新时间:

Nacos在开源鉴权体系使用了默认token.secret.key时,可能存在权限绕过风险。本文介绍如何处理Nacos默认token.secret.key风险。

风险描述

Nacos社区于2.2.0.1版本发布了风险提示。更多信息,请参见关于Nacos默认token.secret.key风险说明及解决方案公告

当使用者使用了默认的token.secret.key时,容易被攻击者使用默认值进行攻击,绕过身份验证。

影响范围

以下集群可能受此风险影响。您需要注意并按照文档说明进行正确使用。

  • 自行搭建的Nacos 1.2.0~2.2.0版本的集群未设置自定义密钥。关于自定义密钥和相关说明,请参见Nacos

  • 自行搭建的Nacos 2.2.0.1及以上版本,但仍设置为默认值

MSE产品不受该风险影响。

重要
  • MSE Nacos引擎基础版1.1.3版本(已停止维护):无鉴权能力且不支持配置中心,不涉及此漏洞。

  • MSE Nacos引擎基础版1.2.1版本(已停止更新功能):默认创建集群不开启鉴权能力,开启鉴权后使用阿里云RAM进行权限认证,不使用token.secret.key参数,不涉及此漏洞。

  • MSE Nacos引擎专业版:默认创建集群不开启鉴权能力,开启鉴权后使用阿里云RAM进行权限认证,不使用token.secret.key参数,不涉及此漏洞。

安全建议

  1. 确认MSE Nacos引擎实例是否开放了公网白名单。若未设置公网白名单,需要设置公网白名单阻止非预期来源的请求。具体操作,请参见设置白名单

  2. 确认MSE Nacos引擎实例是否为旧版本。若为基础版1.1.3版本,需要将基础版升级至1.2.1及以上版本。具体操作,请参见Nacos 1.1.3版本升级为1.2.1版本

    说明

    MSE Nacos基础版实例仅支持配置中心鉴权,建议升级至专业版最新版本,同时开启注册中心鉴权,以进行全方位保护。具体操作,请参见Nacos基础版升级为专业版或开发版

  3. 为MSE Nacos引擎实例开启鉴权。具体操作,请参见开启鉴权

  • 本页导读 (1)
文档反馈