nacos 出现严重安全漏洞，特殊 UA 可以绕过所有鉴权，有用了的小伙伴注意了……

参考： https://github.com/alibaba/nacos/issues/4593

只要指定一个特殊的 UA 就可以绕过所有鉴权。

官方不推荐这种用法，所以没有文档，建议大家别这么用。

2021-01-14 16:50:55 +08:00

@PureWhiteWu
用户不知道，但是想搞坏事的坏人知道，简直是完美的后门。

Lax

2021-01-14 16:58:27 +08:00

以前有个关于开源软件和闭源软件谁更安全的话题，一般认为在“代码功力一样的情况下，闭源软件比开源软件多个后门的可能性”。这下可好，开源软件也一样。到底是什么原因呢？

YAR

2021-01-14 17:02:47 +08:00

刚在生产环境搭完 nacos, 进来就看到这个......

olaloong

2021-01-14 17:17:51 +08:00

随便拿钟馗之眼搜了台机器就试验成功了...这个漏洞真的太强了，之前把 nacos 账户密码改掉，要啥有啥

PureWhiteWu

2021-01-14 17:57:43 +08:00

@YAR 哈哈哈哈哈哈，我不该发

baobao1270

2021-01-14 17:58:25 +08:00

虽然说开源项目有免责条款
不过要是捅到网安部门就够各大企业喝一壶了吧

PureWhiteWu

2021-01-14 18:01:04 +08:00

@baobao1270 不至于，网安才不会管这些事吧

baobao1270

2021-01-14 18:05:28 +08:00

@PureWhiteWu 不太清楚，但是之前不是什么护网吗，如果关键系统有漏洞还是会管的吧

zifangsky

2021-01-14 18:09:09 +08:00

好家伙，这两个漏洞一组合使用，黑客朋友第一时间就表示「阿里简直太贴心了」，顺便还给这个 feature 点个赞

Visitor233

2021-01-14 18:43:35 +08:00

好家伙，本来用的好好的，居然被人捅出来了，黑帽子直接退出群聊

scukmh

2021-01-14 21:14:11 +08:00

都怪你们，用的好好地，捅出来干啥。（跑

cs419

2021-01-14 21:33:45 +08:00

后门留的理直气壮
实在让人呸服

Cat73

2021-01-14 22:21:54 +08:00

https://user-images.githubusercontent.com/9296576/104602646-97750f80-56b6-11eb-8ee8-7f030211f98b.png

配合知道创宇端口扫描效果极佳，果然无聊的人不止我一个，在我眼皮子底下这台服务器就中招了，多了个用户

知道创宇总共搜出来了 800 多台 Nacos 服务器，提前默哀

zhleonix

2021-01-14 22:31:14 +08:00

能这样设计的都不是正常人

x66

2021-01-14 22:34:29 +08:00

好家伙，这个 issue 已经提出来半个月了，回复有点让我大吃一惊，建议以后阿里面试少问点什么原理，多问点安全相关的常识。
一句不应该把服务暴露到公网就完事了，那我想问下 nacos 为啥默认需要登陆呢？

Jooooooooo

2021-01-14 22:38:13 +08:00

一个后门是 feature

笑掉大牙

hyqCrystal

2021-01-14 23:11:17 +08:00

本来就不是给用户用的而是自己内部使用的机制，在使用文档上说明不妥。用户不知道才是正确的。

waising

2021-01-14 23:26:09 +08:00

楼上的回复看了一遍，不知道是真的没有用，还是真的不好用，那么大家都在用什么做注册中心和配置中心的

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/744865

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.