Nacos Jraft Hessian反序列化遠(yuǎn)程代碼執(zhí)行漏洞預(yù)警

2023-06-08

一、概要

近日，華為云關(guān)注到Nacos發(fā)布更新版本，修復(fù)了一處反序列化遠(yuǎn)程代碼執(zhí)行漏洞。Nacos集群在處理基于Jraft的請(qǐng)求時(shí)，使用hessian進(jìn)行反序列化，但沒(méi)有對(duì)反序列化類(lèi)進(jìn)行限制，導(dǎo)致遠(yuǎn)程代碼執(zhí)行。目前漏洞利用細(xì)節(jié)已公開(kāi)，風(fēng)險(xiǎn)高。

Nacos是一個(gè)開(kāi)源的分布式服務(wù)發(fā)現(xiàn)、配置管理和服務(wù)管理平臺(tái)。華為云提醒使用Nacos的用戶盡快安排自檢并做好安全加固。

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說(shuō)明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急） 

三、漏洞影響范圍

影響版本：

1.4.0 <= Nacos < 1.4.6

2.0.0 <= Nacos < 2.2.3

安全版本：

Nacos 1.4.6

Nacos 2.2.3

四、漏洞處置

目前，官方已發(fā)布新版本修復(fù)了該漏洞，請(qǐng)受影響的用戶升級(jí)到安全版本：

https://github.com/alibaba/nacos/releases/tag/1.4.6

https://github.com/alibaba/nacos/releases/tag/2.2.3

緩解措施：

該漏洞僅影響7848端口（默認(rèn)設(shè)置下），該端口是Nacos集群間Raft協(xié)議的通信端口，不承載客戶端請(qǐng)求，如果受影響的用戶無(wú)法及時(shí)升級(jí)，可通過(guò)禁止該端口的請(qǐng)求來(lái)緩解此漏洞。

華為云主機(jī)安全（新版）HSS具備對(duì)該漏洞檢測(cè)能力。華為云HSS用戶在“風(fēng)險(xiǎn)預(yù)防”下的“漏洞管理-應(yīng)用漏洞”可以對(duì)主機(jī)進(jìn)行漏洞檢測(cè)，具體方法請(qǐng)參見(jiàn)HSS漏洞檢測(cè)。

注：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。