nacos 出现严重安全漏洞，特殊 UA 可以绕过所有鉴权，有用了的小伙伴注意了……

无脑拒绝阿里就没问题了

kpi 产物

确实离谱

这不是漏洞，这是自家的后门，是特性

话说 Nacos 阿里自己用吗

https://github.com/alibaba/nacos/issues/273， 这些公司是不是要赶紧救火了？

离谱到在指出这个问题时(在项目里 hardcode 一个不是强制修改且不可修改 token)，开发还依然自以为是否定安全风险，安全经验少得可怜

牛逼

https://github.com/alibaba/spring-cloud-alibaba/issues/1910

配合这个食用味道更佳

nacos 用的多吗，

前面那个 KomachiSion 简直离谱。

这是 feature

直到出事了才知道肯承认是漏洞，真有你的

@xgfan #11 是不是也是看了想打人😂

KomachiSion 是阿里的人吗，嘴硬的离谱 /doge 。

0202 年了 还有人用阿里的开源？ 谁用谁 SB

另外微服务 只有傻逼才会开端口 把中间件的端口 暴露到公网上去

已经修复了，自定义 user-agaent..

「本来就不是给用户用的而是自己内部使用的机制，在使用文档上说明不妥。用户不知道才是正确的。」

不过这玩意不都不暴露公网的吗，有这个必要吗?

凡是“特殊”、“指定”才出现的，我基本认为是后门，因为这个是只能依靠“良心”计量的行为，🐶

这是"feature"

这后门简直离谱

真的有人把 nacos 暴露到公网出去么?是想随时随地用手机改配置啊

这是 feature+1

@worldtongfb #25 真的有。我擦，我醉了。

@lewis89 张嘴轻飘飘说一句不该暴露在外网很轻松，但不解决任何问题。

nacos 是有配置管理功能的，被暴露在外网是很危险的。我实在是没搞明白为啥要旁路鉴权。。。

乍一看以为是 macOS 打错字了，没想到是阿里的瓜

被之前的 fastjson 漏洞搞怕了，对待阿里的开源项目还是慎重吧。

过滤器里面直接把那几个不需要鉴权的接口放白名单不好吗？

@worldtongfb 看了下 github 的交流记录，有人扫出了几十个暴露的，配合另外一个远程执行漏洞，好家伙

本来就不是给用户用的而是自己内部使用的机制，在使用文档上说明不妥。用户不知道才是正确的。

亲爱的黑客朋友们，如果你看到 Nacos 的这个安全漏洞，请不要惊慌。 这个漏洞纯属误报，只用于服务端之间使用，就是不推荐用户直接使用，因此不会在文档进行描述。请诸位黑客朋友遵守使用文档不要直接使用该漏洞哈。

另外我们已经拒绝了所有修复建议并标记 wantfix 。

正在用你敢信

问题是态度还不行，没有为用户服务的心态，就想着自己的业务场景

真是荒唐可笑，有人记得 antd 的彩蛋事件吗？

这个 komachi 嘴比铁还硬，还是 Apache Software Foundation 成员呢

+1

笑死我了

@PureWhiteWu
用户不知道，但是想搞坏事的坏人知道，简直是完美的后门。

以前有个关于开源软件和闭源软件谁更安全的话题，一般认为在“代码功力一样的情况下，闭源软件比开源软件多个后门的可能性”。这下可好，开源软件也一样。到底是什么原因呢？

刚在生产环境搭完 nacos, 进来就看到这个......

随便拿钟馗之眼搜了台机器就试验成功了...这个漏洞真的太强了，之前把 nacos 账户密码改掉，要啥有啥

@YAR 哈哈哈哈哈哈，我不该发

虽然说开源项目有免责条款
不过要是捅到网安部门就够各大企业喝一壶了吧

@baobao1270 不至于，网安才不会管这些事吧

@PureWhiteWu 不太清楚，但是之前不是什么护网吗，如果关键系统有漏洞还是会管的吧

好家伙，这两个漏洞一组合使用，黑客朋友第一时间就表示「阿里简直太贴心了」，顺便还给这个 feature 点个赞

好家伙，本来用的好好的，居然被人捅出来了，黑帽子直接退出群聊

@Visitor233 都怪你们 23333

回复有点开眼界了……

都怪你们，用的好好地，捅出来干啥。（跑

后门留的理直气壮
实在让人呸服

https://user-images.githubusercontent.com/9296576/104602646-97750f80-56b6-11eb-8ee8-7f030211f98b.png

配合知道创宇端口扫描效果极佳，果然无聊的人不止我一个，在我眼皮子底下这台服务器就中招了，多了个用户

知道创宇总共搜出来了 800 多台 Nacos 服务器，提前默哀

能这样设计的都不是正常人

好家伙，这个 issue 已经提出来半个月了，回复有点让我大吃一惊，建议以后阿里面试少问点什么原理，多问点安全相关的常识。
一句不应该把服务暴露到公网就完事了，那我想问下 nacos 为啥默认需要登陆呢？

一个后门是 feature

笑掉大牙

本来就不是给用户用的而是自己内部使用的机制，在使用文档上说明不妥。用户不知道才是正确的。

楼上的回复看了一遍，不知道是真的没有用，还是真的不好用，那么大家都在用什么做注册中心和配置中心的

@hyqCrystal #59 那性质就变成了特意留的后门

这个漏洞就算放在内网，有些员工也可以通过这个方法脱裤，很多小公司都是没审计的

看上去客户第一是不能得分了，希望能有人监督一下（）

> I'm not sure whether the timing attack is send a long string to hold equals resource.

https://github.com/alibaba/nacos/pull/4683/files#r557138940

当场笑死

我就拿他说的要服务间鉴权。看看别的产品怎么做的…他喵的另起一个端口啊。并且文档明确告知 a 端口对外，b 端口对内。
还嘴硬，不是说阿里内部大量使用么。内部员工脱个库玩玩

阿里出品必属于（）

@mmdsun 必属禁品

“本来就不是给用户用的而是自己内部使用的机制，在使用文档上说明不妥。用户不知道才是正确的。”
真是有够搞笑的

更有意思的是, 修复漏洞的 1.4.1 版本又出现了新的安全漏洞...
https://github.com/alibaba/nacos/issues/4701

无内鬼，来点阿里笑话

@ily433664 "本来就不是给用户用的而是自己内部用来偷偷看看其他用户到底弄了些啥，在文档上说了的话你们就都给关了，我们还看啥。用户不知道才是正确的。"

试了一下，还真的是，阿里牛逼，还好我们的是内网的。。。
还有 naocs 的维护者的回复是真的牛皮

阿里开源真不敢用，一会儿爆一个 rec 。

没办法的是，自家公司也会遇到，有些是真杠，有些是假杠

> 用户不知道才是正确的。


我只能说阿里真是人才辈出。你搞个黑盒完事了，还开源干嘛

这东西 暴露给公网干啥？ 感觉没什么问题吧

@slyang5 #76 没办法假设使用行为

完全不熟悉开源社区的人来强行开源是这样的，要习惯 (doge)

看了下 这个是被玩坏了😅

@Roojay #79 好奇怪啊，我试了一下本地的和线上的，都不用加 ua，直接请求就能拿到

@zhongjun96 #80 难道我被楼上钓鱼了🤡

@waising zookeeper cosul etcd，还有楼上说的携程的 apollo，甚至现在可能已经过时的 eureka，还是挺多的
不过我在小公司没搞过微服务所以都没用过，不评价哪个好。。。

@AstroProfundis 这已经和开源无关了吧……这种东西扔内网都过不了安全审计吧。。。

@PureWhiteWu 我是说项目维护者对待这个漏洞报告的态度，至于漏洞本身能不能过审计是另外一个话题（

只能说业余，服务器互相调用就可以不鉴权了？

@Lax 不是开源安全，是因为热门的开源项目关注度高，使用广，还有更多的人出于各种目的审计，隐患能更早的被暴露出来，这个漏洞不就是社区爆出来的。

@zhongjun96 你没开鉴权啊。

@lewis89 @fibbery @worldtongfb @slyang5
就算不开公网端口，你们甚至不防内网横向移动的吗？
那干脆也别划 VLAN 了，也别分生产环境测试环境办公环境了。

@spinecho #87 不确定你说的鉴权是啊，web 页面登陆是需要账号密码的。

吴老板你暴露了··

@Lax 你还是重新看一下 Linus 定律原表达吧……
确切地说，不是 “后门的可能性”，而是 “后门不为人知的可能性”。
Kali 自带一大堆渗透用的开源后门呢…… 然而大家都很清楚，完全不会 surprise 。 “它是后门？那就对了！我这就把它传到那个有漏洞的服务器上…… 嘿嘿，现在它是我的了。”

@baobao1270 免责条款无法免除法律明确指出不可被免责的部分。
实际上在国内免责条款效果比较弱。

我看成 macOS