首页 > 其他分享 >Nacos 爆重大 Bug!!不要升级,不要升级,不要升级

Nacos 爆重大 Bug!!不要升级,不要升级,不要升级

时间:2024-07-09 16:59:39浏览次数:24  
标签:不要 Spring Nacos Alibaba 升级 commons bug Cloud

大家好,我是R哥。

最近我把我的《Spring Cloud Alibaba 微服务实战课》适配了 Spring Cloud Alibaba 2023.0.1.0 官方最新版本适配:

  • Spring Cloud Alibaba => 2023.0.1.0
  • Spring Cloud => 2023.0.1
  • Spring Boot => 3.2.4

以下官方组件依赖需要升级:

  • Nacos 2.2.1 => 2.3.2
  • RocketMQ 4.9.4 => 5.1.4
  • Sentinel => 1.8.6(和上一版没有变化)
  • Seata 1.7.0 => 2.0.0

在完成适配后进行功能测试时,我发现了一个 Nacos 的重大 bug!!!

大概的问题是这样的:

使用 Nacos 配置加解密插件后,在 Nacos 控制台首次添加加密配置时,数据中能正常保存加密后的配置内容:

但在 Nacos 控制台二次编辑加密配置时,数据库中配置内容就变成明文了。。。

此时,因为数据库是明文,所以使用了该配置加解密的应用启动时,就会抛出 DecoderException 解密失败异常:

org.apache.commons.codec.DecoderException: Odd number of characters.
	at org.apache.commons.codec.binary.Hex.decodeHex(Hex.java:97) ~[commons-codec-1.16.1.jar:1.16.1]
	at org.apache.commons.codec.binary.Hex.decodeHex(Hex.java:77) ~[commons-codec-1.16.1.jar:1.16.1]

也正是因为看到了这个异常日志,我才排查到 Nacos 这个 bug。

不过好的一点是,此异常只是记录错误日志并返回原明文内容,并不会向上抛出异常,所以,它虽然不会影响系统正常使用,但这个配置加解密功能就形同虚设了,对数据安全造成严重影响。


我本想在 Nacos Issues 中提出这个 bug 的,事前查了下,没想到这个 bug 居然在 2023 年 9 月份就已经有人提出来了,Issue 地址如下:

https://github.com/alibaba/nacos/issues/11141

在 bug 提出 5 天后,有个 Nacos 项目的兄弟说他会解决这个问题,没想到这个 bug 在过去将近 10 个月后还处于 Open 状态,难以置信啊。。

难道已经修复了状态没更新?

虽然在最新的 Spring Cloud Alibaba 2023.0.1.0 对应的 Nacos 2.3.2 版本中依然存在,但我抱着一查到底的态度,去查看了最新的 Nacos 2.4.0-BETA 版本,这个 bug 依然没有在解决说明中。。

以下是最新 Nacos 2.4.0-BETA 的 BugFix 更新列表:

这 bug 可大可小,事关配置数据的安全性,所以问题严重性可大可小,是官方忘了这个 bug,还是这个 bug 真的遇到棘手问题了,有这么难解决?

不管怎么样,虽然是开源项目,但解决问题的效率真的令人堪忧,毕竟这个问题都快接近一年了,这是置若罔闻啊,后续我也会继续跟进这个 bug 的修复进度,在我的《Spring Cloud Alibaba 微服务实战课》中我也会及时更新。

对配置加解密敏感的同学尽量不要升级到 Spring Cloud Alibaba 2023.0.1.0,如果是独立使用 Nacos 的,Nacos 建议使用之前正常的 2.2.1 版本,超过这个版本的可能都会出现这个问题。

我在公众号「Java技术栈」首发后,官方澄清了,问题已经在 Nacos 2.4.0-BETA 版本中修复,相关问题也已经 Close 掉了,等正式版本发布后我再测试吧。

更多文章推荐:

1.Spring Boot 3.x 教程,太全了!

2.2,000+ 道 Java面试题及答案整理(2024最新版)

3.免费获取 IDEA 激活码的 7 种方式(2024最新版)

觉得不错,别忘了随手点赞+转发哦!

标签:不要,Spring,Nacos,Alibaba,升级,commons,bug,Cloud
From: https://www.cnblogs.com/javastack/p/18292301

相关文章

  • (八)ADO.NET用窗体应用程序写增删查改——改(1.1升级版)
    在1.0版本中,紧接前面两节“增”、“删”、“查”代码,这里新增“改”功能一、首先编辑好要修改的控件和相关属性,这里“编号”默认只读属性(ReadOnly)二、其次,修改下窗体显示的代码,让数据直接显示出来,这里我们用一个方法封装好,直接在窗体加载事件(Load)中调用即可。privatevoidFo......
  • RK3588开发笔记(四):基于定制的RK3588一体主板升级镜像
    前言  方案商定制的主板,加入了360°环视算法功能,涉及到了一些库的添加,重新制作了依赖库的镜像,镜像更新的原来的板子上。 定制的板子  升级接口type-c  设计接口是type-c,需要通过type-c数据线转USB连接电脑,这里开发板都是USB对USB口的线,设计有所不同。  ......
  • linux centos8升级openssh与openssl
    LinuxOpenSSH升级升级openssh之前需要先升级openssl 1、升级准备##1.1、查看系统版本和ssh版本linux系统版本cat/etc/redhat-release#或者uname-aopenssh查看一下原安装版本ssh-Vopenssl查看一下原安装版本opensslversion 1.2、下载软件包Opens......
  • 谷粒商城学习笔记-2-分布式组件-SpringCloud Alibaba-Nacos注册中心
    文章目录一,Nacos简介1,简介2,Nacos原理剖析二,Nacos服务端安装1,下载nacos-server2,解压启动nacos-server3,验证三,服务注册步骤1,引用Nacas客户端的Jar包2,服务启动类增加注解3,配置Nacos服务器地址四,验证错误记录一,Nacos简介1,简介Nacos是阿里巴巴开源的一个更易于构建云......
  • RockyLinux9.4升级Linux内核6.X️
    RockyLinux9.4升级Linux内核6.X......
  • 2024全球数字经济大会:大模型时代下DataOps驱动企业数智化升级
    7月5日,以“开源生态筑基础,数字经济铸未来”为主题的2024全球数字经济大会在北京成功举办,来自全国各地的专家学者、企业代表、数据库行业从业人士及众多开源开发者,共聚一堂,共同探讨开源数据库技术的发展现状与未来趋势,助力构建开放、共赢的数据库生态体系,为开源生态的繁荣发展添砖......
  • MS SQL Server with SSRS 版本从2014升级到2019版本
    升级过程中的一些注意事项。一台服务器上同时安装了MSSQLServer和MSSQLServerReportingService。1.因MicrosoftSQLServer2019ReportingService是独立产品,不在集成于SQLServer服务安装,所以需要单独下载安装包并安装2.升级MSSQLServer版本之前,需要先升级MSSQL......
  • MS SQL Server Reporting Service升级
    案例参考:MSSSRS2014->MSSSRS2019因为MicrosoftSQLServer2019ReportingService是独立产品,不在集成于SQLServer服务安装,需要单独下载MSSQLServerReportingServiceinstallationpackage进行安装并migrationSSRSStepByStep:1.备份原SSRS安装目录\MSRS12.MSSQL......
  • 温故而知新之burp升级小记
    个人记录贴。本文仅作为技术交流使用,如有违反行为本文作者概不负责。最近突然想升级一下burpsuite,看看有啥新功能没。挺久没升级了。结果发现burp无法正常抓包,于是有了以下内容。本文内容参考链接:https://blog.csdn.net/qq_44159028/article/details/116043520升级burp详情......
  • 如何理解李彦宏说的“不要卷模型,要卷应用”
    如何理解李彦宏说的“不要卷模型,要卷应用”7月4日,2024世界人工智能大会暨人工智能全球治理高级别会议全体会议在上海世博中心举办。在产业发展主论坛上,百度创始人、董事长兼首席执行官李彦宏呼吁:“大家不要卷模型,要卷应用!”李彦宏认为,AI技术已经从辨别式转向了生成式,但技术本......