首页 > 其他分享 >JeecgBoot升级Nacos至 2.2.3 版本解决raft漏洞问题

JeecgBoot升级Nacos至 2.2.3 版本解决raft漏洞问题

时间:2023-07-17 10:44:47浏览次数:38  
标签:JeecgBoot nacos Nacos key org 2.2 jeecg

问题描述

Nacos 老版本发现有 raft 漏洞,直接升级最新版 2.2.3 解决问题。

升级步骤

一、修改pom

  • 路径:jeecg-server-cloud/jeecg-cloud-nacos/pom.xml
  • 目前新依赖还未上传到maven官仓,请配置 jeecg私服
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <artifactId>jeecg-cloud-nacos</artifactId>
    <name>jeecg-cloud-nacos</name>
    <description>nacos启动模块</description>
    <version>3.5.2</version>

    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.6.14</version>
        <relativePath/>
    </parent>

    <repositories>
        <repository>
            <id>aliyun</id>
            <name>aliyun Repository</name>
            <url>https://maven.aliyun.com/repository/public</url>
            <snapshots>
                <enabled>false</enabled>
            </snapshots>
        </repository>
        <repository>
            <id>jeecg</id>
            <name>jeecg Repository</name>
            <url>https://maven.jeecg.org/nexus/content/repositories/jeecg</url>
            <snapshots>
                <enabled>false</enabled>
            </snapshots>
        </repository>
    </repositories>

    <properties>
        <log4j2.version>2.17.0</log4j2.version>
    </properties>
    
    <dependencies>
        <dependency>
            <groupId>org.apache.tomcat.embed</groupId>
            <artifactId>tomcat-embed-jasper</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.jeecgframework.nacos</groupId>
            <artifactId>nacos-naming</artifactId>
            <version>2.2.3</version>
        </dependency>
        <dependency>
            <groupId>org.jeecgframework.nacos</groupId>
            <artifactId>nacos-istio</artifactId>
            <version>2.2.3</version>
        </dependency>
        <dependency>
            <groupId>org.jeecgframework.nacos</groupId>
            <artifactId>nacos-config</artifactId>
            <version>2.2.3</version>
        </dependency>
        <dependency>
            <groupId>org.jeecgframework.nacos</groupId>
            <artifactId>nacos-console</artifactId>
            <version>2.2.3</version>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>

</project>

二、升级Nacos数据库,执行升级脚本

ALTER TABLE config_info ADD encrypted_data_key varchar(255) DEFAULT NULL COMMENT '加密key';
ALTER TABLE his_config_info ADD encrypted_data_key varchar(255) DEFAULT NULL COMMENT '加密key';
ALTER TABLE config_info_beta ADD encrypted_data_key varchar(255) DEFAULT NULL COMMENT '加密key';
ALTER TABLE config_info_tag ADD encrypted_data_key varchar(255) DEFAULT NULL COMMENT '加密key';

三、启动Nacos项目完成升级

升级完成,就这么简单。

四、漏洞说明

一、具体说明

Nacos是一个易于使用的动态服务发现、配置和服务管理平台,用于构建云原生应用程序。

近日Nacos发布更新版本,修复了一个反序列化漏洞。由于Nacos集群处理部分Jraft请求时,未限制使用hessian进行反序列化,可能导致远程代码执行。但该漏洞仅影响7848端口(默认设置下),一般使用时该端口为Nacos集群间Raft协议的通信端口,不承载客户端请求,因此可以通过禁止该端口来自Nacos集群外部的请求来进行缓解。

目前该漏洞已经修复,受影响用户可更新到Nacos 版本1.4.6或2.2.3。

二、影响范围

1.4.0<=Nacos版本<1.4.6

2.0.0<=Nacos版本<2.2.3

三、参考博客

标签:JeecgBoot,nacos,Nacos,key,org,2.2,jeecg
From: https://www.cnblogs.com/jeecg158/p/17559343.html

相关文章

  • Nacos和Consul的区别
    一、CAP理论在一个分布式系统(指互相连接并共享数据的节点的集合)中,当涉及读写操作时,只能保证一致性(Consistence)、可用性(Availability)、分区容错性(PartitionTolerance)三者中的两个,另外一个必须被牺牲。1、CP架构如下图,当node1发生异常时,node1的i的值为1,而因为node1发生了异常,导......
  • springcloud启动后读取不到nacos上启动文件
    问题:在确认nacos和jar包都启动成功后,却并没有读取到nacos配置中心的内容。解决:检查java项目的bootstrap.yml配置文件。spring:application:name:testmain:allow-bean-definition-overriding:truecloud:#配置中心config:server-add......
  • 2.2、字符串截取函数
    substring() mysql>selectsubstring('abc',1,1);+----------------------+|substring('abc',1,1)|+----------------------+|a|+----------------------+1rowinset(0.00sec)   mid() mysql>selectmid((selectdatabas......
  • Nacos基本配置
    Nacos官方文档为什么需要服务注册中心?微服务时代的服务管理在微服务时代,我们所有的服务都被劲量拆分成最小的粒度,原先所有的服务都在混在1个server里,现在就被按照功能或者对象拆分成N个服务模块,这样做的好处是深度解耦,1个模块只负责自己的事情就好,能够实现快速的迭代更新。坏处......
  • CentOs7 静默安装Oracle12.2
    createtablespaceJWAQdatafile'/opt/oracle/oradata/orcl/JWAQ.dbf'size1024Mautoextendonnext2048Mmaxsize10gEXTENTMANAGEMENTlocalautoallocatesegmentspacemanagementauto;createuseryangxiaodongidentifiedbyyangxiaodongdefaul......
  • H7-TOOL发布固件V2.22, 增加FreeRTOS/uCOS2 Trace,加强RTT和CAN助手,脱机烧录增加比亚迪
    H7-TOOL发布固件V2.22,增加FreeRTOS/uCOS2Trace,加强RTT和CAN助手,脱机烧录增加比亚迪,上海芯圣51,TI,S32K3,钜泉光电等 H7-TOOL所有资源汇总(含操作手册):http://www.armbbs.cn/forum.php?mod=viewthread&tid=89934 PC机软件:升级PC软件到V2.2.2h7toolPC_release(V2.2.2)......
  • Microsoft.AspNetCore.Http.Abstractions 2.20 is deprecated
     您想要升级Microsoft.AspNetCore.Http.Abstractions包,您需要注意以下几点:Microsoft.AspNetCore.Http.Abstractions包在ASP.NETCore2.2版本后已经被标记为过时,因为它已经被包含在Microsoft.AspNetCore.App框架引用中12。因此,您不需要单独引用这个包,只需要在项目文件中......
  • spring cloud 上nacos理解
    erueka和nacos的区别:1、CAP理论的区别;2、连接方式不同;3、服务异常剔除区别;4、操作实例方式不同;5、自我保护机制不同。CAP理论中C代表一致性,A表示高可用,P代表分区容错性。eureka只支持AP,nacos支持CP和AP两种。 1CAP理论的区别CAP理论:C一致性,A高可用,P分区容错性。eurek......
  • Nacos注册中心快速入门
    1.引入依赖在微服务的父工程pom文件的<dependencyManagement>中引入SpringCloudAlibaba的依赖点击查看代码<dependency><groupId>com.alibaba.cloud</groupId><artifactId>spring-cloud-alibaba-dependencies</artifactId><version>2.2.6.RE......
  • springcloud alibaba -sentinel 配置持久化(datasource -nacos)
    当我们对sentinel进行规则配置之后如果关闭服务在重新启动会发现配置的服务消失了,这样很不方便的,我们需要将它持久化,使用nacos对其进行持久化1.导入依赖让sentinel和nacos产生关系<!--SpringCloudailibabasentinel-datasource-nacos--><dependency><groupId>com.alib......