Nacos Derby 远程命令执行漏洞修复建议
由于Nacos <= 2.4.0 BETA 存在 Derby 远程命令执行漏洞,恶意攻击者利用此漏洞可以未授权执行SQL语句,最终导致任意代码执行。目前该漏洞PoC和技术细节已在互联网上公开。
一、漏洞情况分析
Nacos 是一个功能强大的服务注册与发现、配置管理平台,为微服务架构和云原生应用提供了重要的基础设施支持。
由于Alibaba Nacos部分版本中derby数据库默认可以未授权访问,恶意攻击者利用此漏洞可以未授权执行SQL语句,最终导致任意代码执行。该漏洞利用存在如下条件:
1、Nacos未开启身份认证。
2、Nacos使用derby内置数据库。
二、漏洞影响范围
Nacos <= 2.4.0 BETA
三、漏洞处置建议
3.1 官方修复方案
官方已经在最新代码中通过默认禁用derby接口的方式对本漏洞进行了修复,但还未合并到发行版本,修复代码如下所示:
Close derby ops api default. (#12372) · alibaba/nacos@ed7bd03 · GitHub
3.2 临时修复方案
1、在不影响业务的情况下,使用MySQL等外置数据库。
2、配置Nacos开启身份认证,设置强密码。详细操作过程可参考官方手册:权限校验 | Nacos 官网
3、使用iptables、安全组等方式,限制访问Nacos端口的源IP。
相关文章:
Nacos Derby 远程命令执行漏洞修复建议
由于Nacos < 2.4.0 BETA 存在 Derby 远程命令执行漏洞,恶意攻击者利用此漏洞可以未授权执行SQL语句,最终导致任意代码执行。目前该漏洞PoC和技术细节已在互联网上公开。 一、漏洞情况分析 Nacos 是一个功能强大的服务注册与发现、配置管理平台&#…...
idea 2023.3.7常用插件
idea 2023.3.7常用插件 文档 idea 2019.3常用插件idea 2023.3.7常用插件 idea 2023.3.7常用插件 插件名称插件版本说明1AceJump3.5.9AceJump允许您快速将插入符号导航到编辑器中可见的任何位置。只需按“ctrl;”,键入一个字符,然后在Ace …...
DeepSeek和ChatGPT在科研课题设计和SCI论文写作中的应用
DeepSeek和ChatGPT在科研课题设计和SCI论文写作中的应用 一、DeepSeek和ChatGPT的基础理论 (理论讲解案例分析) 1.DeepSeek的技术架构 (1)DeepSeek的定义与核心目标 (2)DeepSeek的主要类型 如DeepSeek-R1、DeepSeek-V3等 (3)DeepSeek的主要创新点、优势能力以及主要应用场景 2.…...
kubeadm拉起的k8s集群证书过期的做法集群已奔溃也可以解决
kubeadm拉起的k8s集群证书过期的做法 这个是很久之前遇到的了,今天有空(心血来潮)就都回忆回忆写在这里为爱发光,部分内容来自arch先生(死党)的帮助。有时候有很多部门提了建k8s的需求,有些是临…...
2024年河北省职业院校技能大赛网络系统管理赛项样题解法
有问题请留言或主页私信咨询 2024年河北省职业院校技能大赛 网络系统管理赛项 网络构建 目录 任务描述 任务清单 (一)基础配置 (二)有线网络配置 (三)无线网络配置 (四&am…...
【开源免费】基于SpringBoot+Vue.JS个人博客系统(JAVA毕业设计)
本文项目编号 T 203 ,文末自助获取源码 \color{red}{T203,文末自助获取源码} T203,文末自助获取源码 目录 一、系统介绍二、数据库设计三、配套教程3.1 启动教程3.2 讲解视频3.3 二次开发教程 四、功能截图五、文案资料5.1 选题背景5.2 国内…...
纯新手教程:用llama.cpp本地部署DeepSeek蒸馏模型
0. 前言 llama.cpp是一个基于纯C/C实现的高性能大语言模型推理引擎,专为优化本地及云端部署而设计。其核心目标在于通过底层硬件加速和量化技术,实现在多样化硬件平台上的高效推理,同时保持低资源占用与易用性。 最近DeepSeek太火了&#x…...
)
JDK 8+新特性(Stream API、Optional、模块化等)
JDK 8新特性(Stream API、Optional、模块化等) 一、Stream API 1.1 概述 Stream API 是 Java 8 引入的一个新的抽象概念,它允许以声明式的方式处理数据集合。Stream 不是一个数据结构,而是对数据源(如集合、数组等&…...
国产编辑器EverEdit - 独门暗器:自动监视剪贴板内容
1 监视剪贴板 1.1 应用场景 如果需要对剪贴板的所有历史进行记录,并进行分析和回顾,则可以使用监视剪贴板功能,不仅在EverEdit中的复制会记录,在其他应用的复制也会记录。 1.2 使用方法 新建一个空文档(重要:防止扰乱…...
贪心算法-买卖股票的最佳时机
买卖股票的最佳时机 给定一个数组 prices ,它的第 i 个元素 prices[i] 表示一支给定股票第 i 天 的价格。你只能选择 某一天 买入这只股票,并选择在 未来的某一个不同的日子 卖出该股 票。设计一个算法来计算你所能获取的最大利润。返回你可以从这笔交易…...
文本操作基础知识:正则表达式
目录 摘要: 一、语法 二、匹配模式pattern 1、普通字符[ ] 2、限定字符 3、定位字符 4、运算字符( ) 三、修饰符flags 四、各语言的正则使用 1、Python的re 参考资料: 摘要: 常用匹配:[A-C]、[^A-C]、\w、\d、\n、\r、…...
【Scrapy】Scrapy教程6——提取数据
前一小节我们拿到了页面的数据,那页面中那么多内容,我们想要其中的部分内容,该如何获取呢?这就需要对我们下载到的数据进行解析,提取出来想要的数据,这节就讲讲如何提取数据。 引入 我们编辑保存下来的shouye.html文件看下,发现这是什么鬼,全是如下图的代码。 没错…...
PHP 网络编程介绍
PHP 学习资料 PHP 学习资料 PHP 学习资料 在当今数字化时代,网络编程是开发各类应用必不可少的技能。PHP 作为一门广泛应用于 Web 开发的编程语言,同样具备强大的网络编程能力。接下来,我们将深入探讨 PHP 中网络连接的建立、Socket 编程、…...
【C语言】C语言 食堂自动化管理系统(源码+数据文件)【独一无二】
👉博__主👈:米码收割机 👉技__能👈:C/Python语言 👉专__注👈:专注主流机器人、人工智能等相关领域的开发、测试技术。 【C语言】C语言 食堂自动化管理系统(源…...
mybatis存储过程返回list
在MyBatis中,要想通过调用存储过程返回一个List集合,你需要在Mapper接口中定义一个方法,并使用Param注解来传递存储过程的参数。同时,你需要在Mapper XML文件中配置相应的<select>标签,并指定statementType"…...
【vue】nodejs版本管理利器:nvm
nvm(Node Version Manager)即 Node 版本管理器,是一个用于在系统中轻松安装、管理和切换不同版本 Node.js 的工具。 在实际开发中,不同的项目可能基于不同版本的 Node.js 构建。比如一个旧项目依赖于 Node.js 12.x 版本的特定功能…...
负载测试工具有哪些?
Apache JMeter Apache JMeter 是一款开源的性能测试工具,主要用于对 Web 应用程序进行功能、负载和压力测试。JMeter 支持多种协议和技术,包括 HTTP, HTTPS, FTP 和 WebSocket 等。通过模拟大量并发用户访问来评估应用程序的表现1。 jmeter -n -t testp…...
路由基础 | 路由引入实验 | 不同路由引入方式存在的问题
注:本文为 “路由基础 | 路由表 | 路由引入” 相关文章合辑。 未整理去重。 路由基本概念 1—— 路由表信息、路由进表以及转发流程、最长掩码匹配原则 静下心来敲木鱼已于 2023-11-26 14:06:22 修改 什么是路由 路由就是指导报文转发的路径信息,可以…...
网络安全不分家 网络安全不涉及什么
何为网络安全 信息安全是指系统的硬件、软件及其信息受到保护,并持续正常运行和服务。信息安全的实质是保护信息系统和信息资源免受各种威胁、干扰和破坏,即保证信息的安全性。 网络安全是指利用网络技术、管理和控制等措施,保证网络系统和…...
智能编程助手功能革新与价值重塑之:GitHub Copilot
引言: GitHub Copilot 的最新更新为开发者带来了显著变化,其中 Agent Mode 功能尤为引人注目。该模式能够自动识别并修复代码错误、自动生成终端命令,并具备多级任务推理能力,这使得开发者在开发复杂功能时,可大幅减少…...
当Vue前端遇到Spring Cloud Gateway:实战中的跨域配置与联调避坑指南
Vue与Spring Cloud Gateway跨域实战:从联调陷阱到生产级解决方案 引言:当本地开发遇上跨域拦截 凌晨两点的办公室里,李工盯着浏览器控制台鲜红的CORS错误提示,第17次刷新页面依然返回401状态码——这是全栈开发者再熟悉不过的&q…...
从‘连线’到‘思维’:LabVIEW前面板与程序框图的设计哲学与高效调试指南
从‘连线’到‘思维’:LabVIEW前面板与程序框图的设计哲学与高效调试指南 在工业自动化与测试测量领域,LabVIEW以其独特的数据流编程范式独树一帜。不同于传统文本编程的线性思维,LabVIEW通过前面板与程序框图的协同设计,实现了从…...
如何在foobar2000中实现智能歌词显示?OpenLyrics插件完整指南
如何在foobar2000中实现智能歌词显示?OpenLyrics插件完整指南 【免费下载链接】foo_openlyrics An open-source lyric display panel for foobar2000 项目地址: https://gitcode.com/gh_mirrors/fo/foo_openlyrics 还在为foobar2000寻找一款功能强大、界面美…...
)
ORAN前传延迟实战:手把手教你用eCPRI单向测量搞定T12/T34(含Python模拟脚本)
ORAN前传延迟实战:eCPRI单向测量T12/T34的工程指南与Python模拟 1. 理解ORAN前传延迟的核心挑战 在ORAN架构中,前传网络的延迟管理直接关系到空口同步性能。当O-DU与O-RU之间的传输延迟超出设计范围时,轻则导致吞吐量下降,重则引发…...
m4s-converter:5秒完成B站缓存视频无损转换的终极解决方案
m4s-converter:5秒完成B站缓存视频无损转换的终极解决方案 【免费下载链接】m4s-converter 一个跨平台小工具,将bilibili缓存的m4s格式音视频文件合并成mp4 项目地址: https://gitcode.com/gh_mirrors/m4/m4s-converter 你是否曾经为B站视频突然下…...
终极MiniDisc音乐管理指南:Platinum-MD让复古音乐焕发新生
终极MiniDisc音乐管理指南:Platinum-MD让复古音乐焕发新生 【免费下载链接】platinum-md Minidisc NetMD Conversion and Upload 项目地址: https://gitcode.com/gh_mirrors/pl/platinum-md 想要在2024年重新体验90年代的MiniDisc音乐魅力吗?Plat…...
Qwen-Image-2512-Pixel-Art-LoRA 结合YOLOv8:智能游戏素材分类与像素化流水线
Qwen-Image-2512-Pixel-Art-LoRA 结合YOLOv8:智能游戏素材分类与像素化流水线 1. 引言 做独立游戏或者像素风项目,美术素材的处理常常是个让人头疼的活儿。你可能遇到过这种情况:手头有一堆现成的美术资源,角色、武器、场景图什…...
从纯前端到全栈AI:小白也能收藏的转型实战干货分享
本文分享了作者从纯前端开发者转型为全栈并整合AI能力的实战经验。核心观点包括:前端开发者需拓展全栈视野,掌握Node.js、数据库及AI API集成等技能;AI时代,快速学习、系统性思维与业务洞察是核心竞争力;通过项目实践、…...
离线/内网部署jetson-inference完整流程与资源包分享)
告别官方文档!Jetson Nano(JetPack 4.6)离线/内网部署jetson-inference完整流程与资源包分享
Jetson Nano(JetPack 4.6)离线部署jetson-inference全攻略:从资源包制作到内网实战 在工业质检、智慧农业等边缘计算场景中,Jetson Nano常常需要部署在无外网环境的生产线上。去年为某汽车零部件厂商部署缺陷检测系统时,工厂车间完全隔离外网…...
BitNet-b1.58-2B-4T-GGUF 在计算机组成原理教学中的辅助应用
BitNet-b1.58-2B-4T-GGUF 在计算机组成原理教学中的辅助应用 1. 教学痛点与解决方案 计算机组成原理作为计算机专业的核心基础课程,长期面临概念抽象、实践门槛高的教学挑战。传统教学方式中,学生往往难以直观理解CPU流水线、缓存一致性等复杂机制&…...