随记-IT-漏洞

一、微服务注册中心漏洞

1、nacos权限绕过漏洞(CVE-2021-29441)

　　描述：nacos1.2.1版本存在权限绕过漏洞(CVE-2021-29441)漏洞

　　修复建议：

　　　　1、升级较高版本

　　　　2、修改 nacos的application.properties配置文件，开启服务身份识别功能　　　　

### 开启鉴权
nacos.core.auth.enabled=true

### 关闭使用user-agent判断服务端请求并放行鉴权的功能
nacos.core.auth.enable.userAgentAuthWhite=false

### 配置自定义身份识别的key（不可为空）和value（不可为空）
nacos.core.auth.server.identity.key=example
nacos.core.auth.server.identity.value=example

nacos.core.auth.server.identity.key和nacos.core.auth.server.identity.value根据你的需要，填写你的key和value

3、Nacos注册及配置中心开启权限认证
修改你的项目中的bootstrap.yml或bootstrap.properties:

 

　　　　nacos的discovery和config开启用户密码认证，用户密码就是你的nacos登录的用户名和密码，在此要注意的是，用户名和密码不要带有%、$这些特殊字符，不然你的服务会注册不上到nacos，因为它会转义