V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
90d0n
V2EX  ›  信息安全

Nacos 出现严重安全漏洞 again !

  •  
  •   90d0n · 275 天前 · 4774 次点击
    这是一个创建于 275 天前的主题,其中的信息可能已经有所发展或是发生改变。

    联动 https://www.v2ex.com/t/744865

    nacos 发布了修复 bug 的 1.4.1 版本, 然后又出现安全漏洞了... https://github.com/alibaba/nacos/issues/4701

    修复 1 bug, 新增 1 bug (狗头

    第 1 条附言  ·  275 天前
    还有一个 远程执行漏洞: https://github.com/alibaba/spring-cloud-alibaba/issues/1910

    配合安全漏洞使用, 删库警告 (逃

    话说, 这个找 bug 的大佬好强啊.
    24 条回复    2021-01-15 16:50:46 +08:00
    singerll
        1
    singerll   275 天前
    在我眼里都是专家级开发了,高级研发修 1 个新增 10 个,中级研发修 1 个新增 20 个,低级研发修 1 个,结果发现没修好,还新增 50 个。
    matrix67
        2
    matrix67   275 天前
    你这么发要影响很多人的绩效的,特别都快年末了。 上次圣诞彩蛋事件我记得大佬是背了 3.25
    fangcan
        3
    fangcan   275 天前
    不是新增 bug,这是没改好
    lqw3030
        4
    lqw3030   275 天前 via iPhone
    拙见:在 bug 造成更大的损失之前及时修复止损不是应该的吗?
    tabris17
        5
    tabris17   275 天前
    @matrix67 这施阿波衣被开除都活该
    AA5DE3F034ACCB9E
        6
    AA5DE3F034ACCB9E   275 天前
    这个发现漏洞的人很强啊。。
    cnxobo
        7
    cnxobo   275 天前
    借楼问一下,有没有什么地方可以订阅漏洞信息的。这心脏受不了。
    90d0n
        8
    90d0n   275 天前
    @AA5DE3F034ACCB9E #6 确实, 这是个大佬, 抓了好多 bug
    murmur
        9
    murmur   275 天前
    阿里为啥不把折大佬招去福报,技术了得,也免得他到处发布
    payton93
        10
    payton93   275 天前
    @cnxobo 我司还是依靠的舆情通报,安服、应急响应中心啥的
    Nich0la5
        11
    Nich0la5   275 天前
    用 nacos 的公司现在估计是心肌梗塞的感觉
    xiangyuecn
        12
    xiangyuecn   275 天前
    不管在哪,一堆 if else + return 迟早出逻辑问题,这种复杂的逻辑要我来写就 while(true),成功才 return,所有失败都 break,只有 if 没有 else,万无一失😂
    eason1874
        13
    eason1874   275 天前   ❤️ 1
    开源项目的漏洞提交到阿里安全响应中心有奖励吗?

    不过,以他们那种嘴硬的态度,估计私下提交他们不一定认,还是公开提交效果好。
    tangzui
        14
    tangzui   275 天前
    看错了 堪称 MacOs 了 淦
    YAR
        15
    YAR   274 天前
    又来....
    Lonely
        16
    Lonely   274 天前 via iPhone
    阿里开源少碰,不碰最好
    no1xsyzy
        17
    no1xsyzy   274 天前
    @cnxobo 对大部分人来说还得依赖公开信息,主要是我等非专业人士就算拿到第一手也要花大力气才能看懂
    如果你是专业人士大概也不会问这问题,不过有功夫钻研的话,可以 CVE 和各自的 issue / bug tracker (拿 RSS 订阅,避免删 issue 这种行为),专门看自己相关的。

    @xiangyuecn 你这还不如所有失败就 throw 呢
    shuimugan
        18
    shuimugan   274 天前 via Android
    去年我发邮件提了个未授权的漏洞被忽略,就懒得再提其它漏洞了。用开源的东西最好还是自己有点审计能力。
    learningman
        19
    learningman   274 天前
    这人好 TM 屌啊
    思路很清晰,但是能找出来真 NB
    x66
        20
    x66   274 天前
    不敢碰阿里开源的东西了。。
    ily433664
        21
    ily433664   274 天前
    fastjson 之前也出过好几次漏洞
    coderfuns
        22
    coderfuns   274 天前
    这老哥牛,文档能力不错,issue 规范,思路清晰有理有据
    intmax2147483647
        23
    intmax2147483647   274 天前
    @murmur 人家为什么要去阿里啊,这是什么好公司吗?🤣
    so1n
        24
    so1n   274 天前
    他修之前的 bug 没走流程 没有别人 review 就提交了...然后就出新 bug 了
    关于   ·   帮助文档   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2003 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 03:27 · PVG 11:27 · LAX 20:27 · JFK 23:27
    ♥ Do have faith in what you're doing.