Nacos 1.4.1 紧急升级修复Alibaba Nacos 认证绕过漏洞

使用背景

Nacos是Spring Cloud Alibaba的微服务的配置和发现的组件，目前暴露出安全漏洞，主要包括如下：
根据Nacos官方在github发布的issue，Alibaba Nacos存在一处认证绕过漏洞。由于对User-Agent字段判断规则不完善，Nacos开启鉴权后攻击者仍可以绕过鉴权访问任意http接口，从而进行访问用户列表、添加用户等任意操作，风险极大。

官方紧急修复

用户升级至Nacos 1.4.1版本后即可解决此问题。

特征

-[ ＃978 ]支持IPv6。
-[ ＃3917 ]在服务详细信息页面中添加元数据过滤器。
-[ ＃4132 ]服务列表API参数groupName支持’*’，以获取所有组serviceName。
-[ ＃4670 ]支持CSharp客户端的Udp推送。

增强功能

-[ ＃3607 ] [ ＃4078 ] [ ＃4170 ]可以配置数据源池配置。
-[ ＃3832 ]当nacos服务器无法启动时，关闭所有http客户端。
-[ ＃3907 ]当publishConfig时，如果类型不存在，则设置默认值’text’。
-[ ＃4066 ]使serviceNameList遵循字符串顺序。
-[ ＃4090 ]配置文件更改不会生效。
-[ ＃4286 ]当auth打开时，使用资源解析器缓存来解析资源。
-[ ＃4291 ]在独立模式下，服务模块不会启用Raft协议。
-[ ＃4355]如果成员已删除，请不要重试发行同步。
-[ ＃4463 ]添加对配置derby数据库的SQL查询的身份验证检查。
-[ ＃4513 ]在注册之前检查实例非法心跳参数。
-[ ＃4593 ]添加服务器身份以替换用户代理白名单。
-[ ＃4662 ]只需在nacosDomain模式和服务器模式之间选择一个。

重构和代码质量

-[ ＃3831 ]删除旧的http客户端代码。
-[ ＃3832 ]添加常见的http客户端关闭方法。
-[ ＃4093 ] [ ＃4125 ] [ ＃4310 ] [ ＃4346 ]删除未使用的代码。
-[ ＃4166 ] NotifyCenter代码优化。
-[ ＃4225 ]替换HttpHealthCheckProcessor中的http客户端。
-[ ＃4232 ]使用EnvUtil替换有关env操作的ApplicationUtils。
-[ ＃4293 ]删除ApplicationUtils中的env操作代码。
-[ ＃4275 ]将com.alibaba.nacos.config.server.result.ResultBuilder替换为RestResultUtil。
-[ ＃4344 ] CacheMap属性优化。
-[ ＃4567 ]重构nacos-client负载日志配置代码。
-[ ＃4594 ] [ ＃4596 ]修复IO关闭问题种类/代码质量种类/重构
-[ ＃4631 ]删除计时器，使用ScheduledThreadPoolExecutor替换。

错误修复

-[ ＃3005 ]修复ClusterController 403，并且某些显示错误。
-[ ＃3406 ]解决了更改自己的密码失败的问题。
-[ ＃3524 ] [ ＃4262 ]解决了公共命名空间权限问题。
-[ ＃3880 ] NamingService客户端支持pushEmptyProtection。
-[ ＃4073 ]解决了配置默认时区的问题。
-[ ＃4136 ]修复ServiceInfo无法正确地从缓存文件实例化。
-[ ＃4181 ]如果contextPath为’/’，则修正Auth可能不起作用。
-[ ＃4187 ]修复ProtocolManager＃onEvent无法感觉到节点扩展。
-[ ＃4199]修复新的http客户端不支持补丁方法的问题。
-[ ＃4236 ]修复了Apache HTTP客户端Content-Length的ProtocolException。
-[ ＃4245 ]修复了SQL注入错误。
-[ ＃4264 ]修复contextPath为’/'时始终加载属性。
-[ ＃4282 ]修复服务列表无法按组名查询。
-[ ＃4311 ]修复了当使用嵌入式数据源时，如果SQL包含LIMIT将会发生异常。
-[ ＃4320 ]修复了命名一致性模块无法在群集模式下启动的问题。
-[ ＃4333 ]修复PaginationHelper在群集模式下将异常。
-[ ＃4342]修复nacos.core.protocol.raft.data.read_index_type不起作用。
-[ ＃4364 ]修复节点关闭后群集成员状态未更新为“关闭”的情况。
-[ ＃4415 ]修复NOW_WATCH_JOB_CNT记录WatchDirJob计数错误。
-[ ＃4424 ]解决了无法将空值转换为基本参数的问题。
-[ ＃4429 ]修复无法打开mcp的问题。
-[ ＃4436 ]修复了解析标签表达错误的问题。
-[ ＃4450 ]修复了更新成员状态后，memberAddressInfos不记录启动状态的问题。
-[ ＃4467 ]修复instanceId将在两次注册时被替换。
-[ ＃4477]如果fromIndex> toIndex，则修复服务列表返回错误信息。
-[ ＃4541 ] [ ＃4556 ]解决了配置文件加载问题。
-[ ＃4570 ]修复群集模式查询配置类型为null。
-[ ＃4583 ]修复nacos客户端在DOMAIN模式下不重试。
-[ ＃4643 ]修复jraft响应实例错误。
-[ ＃4701 ]修复了旁路身份验证（身份）问题。

其他

-[ ＃3102 ]删除apache commons-lang3依赖性。
-[ ＃4179 ]为db.user和db.password添加索引。
-[ ＃4339 ]将jraft升级到1.3.5。
-[ ＃4476 ]更新配置列表模糊查询中的提示词。
-[ ＃4632 ]将axios版本升级到0.21.1。

应用案例

JAVA微服务框架，集成各中间件的工具模块，让你只专注于业务。
https://github.com/matevip/matecloud