亚洲狼友综合在线导航|国产在线拍揄自揄拍无码男男|跪求一个免费的黄色在线网址|国产r级片在线观看完整版视频|国产欧美亚洲日本视频|视频成人一二区啊轻点插|免费观看!毛片久热久|欧美成人高清导航|无码高清色情97视频在线|精品黄色成人网站在线观看

Avisos públicos

Todos los avisos > Anuncios de seguridad > Vulnerabilidad de ejecución remota de código de deserialización basada en Hessian para el procesamiento de solicitudes Jraft de Nacos

Vulnerabilidad de ejecución remota de código de deserialización basada en Hessian para el procesamiento de solicitudes Jraft de Nacos

14 jun. 2023 GMT+08:00

I. Información general

Recientemente, Nacos lanzó una versión actualizada para corregir una vulnerabilidad de ejecución remota de código de deserialización. Al procesar solicitudes basadas en Jraft, el clúster de Nacos utiliza el protocolo Hessian para la deserialización, pero no restringe la clase de deserialización, lo que puede permitir la ejecución remota de código. Recientemente, se han revelado detalles acerca de la explotación de la vulnerabilidad, y el riesgo es alto.

Nacos es una plataforma de detección, configuración y gestión de servicios distribuidos de código abierto. Si usted es usuario de Nacos, verifique su sistema y aplique las mejoras de seguridad de manera oportuna.

II. Severidad

Severidad: importante

(Severidad: baja, moderada, importante o crítica)

III. Productos afectados

Versiones afectadas:

1.4.0 <= de Nacos < 1.4.6

2.0.0 <= Nacos < 2.2.3

Versiones seguras:

Nacos 1.4.6

Nacos 2.2.3

IV. Manejo de la vulnerabilidad

Esta vulnerabilidad se corrigió en la versión oficial más reciente. Si la versión de su servicio está dentro del rango afectado, instale la versión segura.

https://github.com/alibaba/nacos/releases/tag/1.4.6

https://github.com/alibaba/nacos/releases/tag/2.2.3

Medidas de mitigación:

La vulnerabilidad solo afecta al puerto 7848 (por defecto), que se usa típicamente como el puerto de comunicación para el protocolo inter-raft de clústeres de Nacos y no maneja las solicitudes del cliente. Por lo tanto, el riesgo se puede controlar deshabilitando las solicitudes desde fuera de los clústeres de Nacos de versiones anteriores.

HSS de Huawei Cloud (nueva versión) puede detectar esta vulnerabilidad. Los usuarios de HSS de Huawei Cloud pueden iniciar sesión en la consola de HSS para detectar vulnerabilidades del host. Para obtener más información, consulte la página Escaneo de vulnerabilidades de HSS.

Nota: Antes de corregir vulnerabilidades, haga una copia de respaldo de sus archivos y realice una prueba exhaustiva.