【Nacos安全风险说明】关于Nacos Jraft端口的反序列化漏洞风险说明

本文介绍Nacos公开披露的Jraft端口存在的反序列化漏洞的相关风险说明及解决方法。

风险描述

Nacos社区于2.2.3版本修复了部分Jraft请求处理时,因使用Hessian进行反序列化未限制而造成的RCE漏洞。

该漏洞主要影响对外暴露了Jraft的7848端口(默认配置下),且版本处于1.4.0~1.4.5或2.0.0~2.2.2之间

更多信息,请参见Release Note

影响范围

  • MSE产品不受该风险影响。

    说明

    MSE所有的版本均不对外暴露Jraft的7848端口,外部用户无法访问该端口,因此不涉及该漏洞。

  • 自行搭建的Nacos 1.4.0~1.4.5或2.0.0~2.2.2版本, 且允许7848端口从外部访问的集群。

安全建议

  • 自行搭建的用户请关闭禁止7848端口的外部访问,或升级至社区最新版本。

  • MSE产品不受该风险影响,但仍然建议您控制公网访问,升级到最新版本并开启鉴权,相关操作如下所示。

    1. 确认MSE Nacos引擎实例是否开放了公网白名单,若未设置公网白名单,请设置公网白名单阻止非预期来源的请求。具体操作,请参见设置白名单

    2. 确认MSE Nacos引擎实例是否为旧版本,若为基础版1.1.3版本,请升级至基础版 1.2.1版本以上。具体操作,请参见Nacos 1.1.3版本升级为1.2.1版本

      说明

      MSE Nacos基础版实例仅支持配置中心鉴权,建议您升级至专业版最新版本,并开启注册中心鉴权以进行全方位保护。具体操作,请参见Nacos基础版升级为专业版或开发版

    3. 确认MSE Nacos引擎实例是否已开启鉴权,若未开启鉴权,请开启鉴权。具体操作,请参见开启鉴权