Nacos 出现严重安全漏洞 again !

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› RANDOM.org 密码生成器

› uBlock

› Authy

› LastPass

› FreebuF.com

› Beebeeto

› Dashlane 密码管理器

这是一个创建于 1392 天前的主题，其中的信息可能已经有所发展或是发生改变。

联动 https://www.v2ex.com/t/744865

nacos 发布了修复 bug 的 1.4.1 版本, 然后又出现安全漏洞了... https://github.com/alibaba/nacos/issues/4701

修复 1 bug, 新增 1 bug (狗头

第 1 条附言 · 2021-01-15 10:23:13 +08:00

还有一个远程执行漏洞: https://github.com/alibaba/spring-cloud-alibaba/issues/1910

配合安全漏洞使用, 删库警告 (逃

话说, 这个找 bug 的大佬好强啊.

nacos

bug

漏洞

修复

24 条回复 • 2021-01-15 16:50:46 +08:00

singerll

2021-01-15 09:56:30 +08:00

在我眼里都是专家级开发了，高级研发修 1 个新增 10 个，中级研发修 1 个新增 20 个，低级研发修 1 个，结果发现没修好，还新增 50 个。

matrix67

2021-01-15 10:04:31 +08:00

你这么发要影响很多人的绩效的，特别都快年末了。上次圣诞彩蛋事件我记得大佬是背了 3.25

fangcan

2021-01-15 10:06:42 +08:00

不是新增 bug，这是没改好

lqw3030

2021-01-15 10:13:48 +08:00 via iPhone

拙见：在 bug 造成更大的损失之前及时修复止损不是应该的吗？

tabris17

2021-01-15 10:16:05 +08:00

@matrix67 这施阿波衣被开除都活该

AA5DE3F034ACCB9E

2021-01-15 10:16:06 +08:00

这个发现漏洞的人很强啊。。

cnxobo

2021-01-15 10:18:10 +08:00

借楼问一下，有没有什么地方可以订阅漏洞信息的。这心脏受不了。

90d0n

2021-01-15 10:19:42 +08:00

@AA5DE3F034ACCB9E #6 确实, 这是个大佬, 抓了好多 bug

murmur

2021-01-15 10:25:57 +08:00

阿里为啥不把折大佬招去福报，技术了得，也免得他到处发布

payton93

2021-01-15 10:29:03 +08:00

@cnxobo 我司还是依靠的舆情通报，安服、应急响应中心啥的

Nich0la5

2021-01-15 10:31:55 +08:00

用 nacos 的公司现在估计是心肌梗塞的感觉

xiangyuecn

2021-01-15 10:33:05 +08:00

不管在哪，一堆 if else + return 迟早出逻辑问题，这种复杂的逻辑要我来写就 while(true)，成功才 return，所有失败都 break，只有 if 没有 else，万无一失😂

eason1874

2021-01-15 10:39:18 +08:00

开源项目的漏洞提交到阿里安全响应中心有奖励吗？

不过，以他们那种嘴硬的态度，估计私下提交他们不一定认，还是公开提交效果好。

tangzui

2021-01-15 10:40:06 +08:00

看错了堪称 MacOs 了淦

YAR

2021-01-15 12:19:32 +08:00

又来....

Lonely

2021-01-15 13:30:51 +08:00 via iPhone

阿里开源少碰，不碰最好

no1xsyzy

2021-01-15 13:54:06 +08:00

@cnxobo 对大部分人来说还得依赖公开信息，主要是我等非专业人士就算拿到第一手也要花大力气才能看懂
如果你是专业人士大概也不会问这问题，不过有功夫钻研的话，可以 CVE 和各自的 issue / bug tracker （拿 RSS 订阅，避免删 issue 这种行为），专门看自己相关的。

@xiangyuecn 你这还不如所有失败就 throw 呢