本文介绍Nacos公开披露的Jraft端口存在的反序列化漏洞的相关风险说明及解决方法。
风险描述
Nacos社区于2.2.3版本修复了部分Jraft请求处理时,因使用Hessian进行反序列化未限制而造成的RCE漏洞。
该漏洞主要影响对外暴露了Jraft的7848端口(默认配置下),且版本处于1.4.0~1.4.5或2.0.0~2.2.2之间。
更多信息,请参见Release Note。
影响范围
MSE产品不受该风险影响。
说明MSE所有的版本均不对外暴露Jraft的7848端口,外部用户无法访问该端口,因此不涉及该漏洞。
自行搭建的Nacos 1.4.0~1.4.5或2.0.0~2.2.2版本, 且允许7848端口从外部访问的集群。
安全建议
自行搭建的用户请关闭禁止7848端口的外部访问,或升级至社区最新版本。
MSE产品不受该风险影响,但仍然建议您控制公网访问,升级到最新版本并开启鉴权,相关操作如下所示。
确认MSE Nacos引擎实例是否开放了公网白名单,若未设置公网白名单,请设置公网白名单阻止非预期来源的请求。具体操作,请参见设置白名单。
确认MSE Nacos引擎实例是否为旧版本,若为基础版1.1.3版本,请升级至基础版 1.2.1版本以上。具体操作,请参见Nacos 1.1.3版本升级为1.2.1版本。
说明MSE Nacos基础版实例仅支持配置中心鉴权,建议您升级至专业版最新版本,并开启注册中心鉴权以进行全方位保护。具体操作,请参见Nacos基础版升级为专业版或开发版。
确认MSE Nacos引擎实例是否已开启鉴权,若未开启鉴权,请开启鉴权。具体操作,请参见开启鉴权。
文档内容是否对您有帮助?