Nacos 1.4.1 修复指定特殊 UA 可绕过所有鉴权的安全漏洞-低调大师

Nacos 1.4.1 修复指定特殊 UA 可绕过所有鉴权的安全漏洞

2021-01-15 521

Nacos 1.4.1 已发布，此版本的主要新功能是支持 IPv6 服务注册，以及为 Csharp 客户端提供 UDP push 支持。

更值得关注的是，1.4.1 版本解决了此前被曝出的绕过鉴权的安全漏洞 (#4593)。release note 写到，增加服务器身份认证以替代 UA 白名单模式。

开发者@threedr3am半个月前向 nacos 提交 issue 反馈了一个可以绕过鉴权的安全漏洞（出于安全考虑，提交者已删除此 issue 内容，具体的漏洞描述已无法查看）。

从上下文来推测，此漏洞大概是在 nacos 中使用特殊的 UA 即可忽略鉴权——从而绕过了鉴权机制。维护者回复称，这个特殊 UA 用于服务间通信鉴权白名单，由于是白名单模式，所以会忽略鉴权，而且这是服务端之间的通信鉴权，不会推荐用户直接使用，因此并没在文档进行描述。

issue 的回复显示，nacos 从 1.2.0 开始增加了鉴权功能，所以建议使用 1.2.0 及以上版本的用户升级至最新的 1.4.1。

nacos 1.4.1 发布后，开发者@threedr3am又发现了一个能绕过鉴权的机制 (#4701)，nacos 维护者确认后在 1.4.1 基础上进行 hotfix 解决了此问题。

建议用户直接下载最新的 1.4.1 版本进行部署升级。

下载地址：https://github.com/alibaba/nacos/releases/tag/1.4.1

微信关注我们

原文链接：https://www.oschina.net/news/126592/nacos-1-4-1-released

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

Scala.js 1.4.0 发布，将 Scala 编译成 JavaScript

Scala.js 1.4.0 已发布。Scala.js 是一个将 Scala 语言编译成 JavaScript 的工具，以便可以直接在浏览器上使用 Scala 编写程序。 Scala.js 2020 年 2 月发布 Scala.js 1.0.0，此前长时间处于 0.6.x 系列，Scala.js 1.0.0 发布之时与 0.6x 也有一些兼容问题。1.4.0 版本中也修复了一些兼容问题。主要更新内容包括：补充了 Scala.js 1.3.0 中引入的模块拆分支持，并支持动态模块加载。显著提高scala.Array性能，特别是数字类型的数组（Longs 除外）是在后台使用 JavaScript 类型的数组实现的。此版本还包含许多错误修复。适用于 2.13.x 的 Scala 标准库版本已升级到 2.13.4。更新详情查看：https://www.scala-js.org/news/2021/01/12/announcing-scalajs-1.4.0/

2021-01-15

636

Elasticsearch 7.10.2 已经发布，主要更新内容包括： EQL 修复 in-flight 数据的早期调整#66493 Engine 修复了 NoOpResult 版本和术语字段初始化错误#66269(issue:#66267) Highlighting 修复了可能从错误文档加载 fvh 字段的问题#65641(issues:#60179,#65533) Features/ILM+SLM 在 ILM 步骤的 main method 中创建 AllocationDeciders#65037(issue:#64529) Infra/REST API 修复了 spec and handler 中的 cat 任务 API 参数#66272(issue:#59493) 将 Cat Tasks API 标记为 rest-api-spec 中的实验性 API#66536(issues:#51628,#65823) 更新详情查看：https://www.elastic.co/guide/en/elasticsearch/reference/7.10/release-notes-7.10....

2021-01-15

815

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。