V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
90d0n
V2EX  ›  信息安全

Nacos 出现严重安全漏洞 again !

  •  
  •   90d0n · 2021-01-15 09:47:25 +08:00 · 6234 次点击
    这是一个创建于 1443 天前的主题,其中的信息可能已经有所发展或是发生改变。

    联动 https://www.v2ex.com/t/744865

    nacos 发布了修复 bug 的 1.4.1 版本, 然后又出现安全漏洞了... https://github.com/alibaba/nacos/issues/4701

    修复 1 bug, 新增 1 bug (狗头

    第 1 条附言  ·  2021-01-15 10:23:13 +08:00
    还有一个 远程执行漏洞: https://github.com/alibaba/spring-cloud-alibaba/issues/1910

    配合安全漏洞使用, 删库警告 (逃

    话说, 这个找 bug 的大佬好强啊.
    24 条回复    2021-01-15 16:50:46 +08:00
    singerll
        1
    singerll  
       2021-01-15 09:56:30 +08:00
    在我眼里都是专家级开发了,高级研发修 1 个新增 10 个,中级研发修 1 个新增 20 个,低级研发修 1 个,结果发现没修好,还新增 50 个。
    matrix67
        2
    matrix67  
       2021-01-15 10:04:31 +08:00
    你这么发要影响很多人的绩效的,特别都快年末了。 上次圣诞彩蛋事件我记得大佬是背了 3.25
    fangcan
        3
    fangcan  
       2021-01-15 10:06:42 +08:00
    不是新增 bug,这是没改好
    lqw3030
        4
    lqw3030  
       2021-01-15 10:13:48 +08:00 via iPhone
    拙见:在 bug 造成更大的损失之前及时修复止损不是应该的吗?
    tabris17
        5
    tabris17  
       2021-01-15 10:16:05 +08:00
    @matrix67 这施阿波衣被开除都活该
    AA5DE3F034ACCB9E
        6
    AA5DE3F034ACCB9E  
       2021-01-15 10:16:06 +08:00
    这个发现漏洞的人很强啊。。
    cnxobo
        7
    cnxobo  
       2021-01-15 10:18:10 +08:00
    借楼问一下,有没有什么地方可以订阅漏洞信息的。这心脏受不了。
    90d0n
        8
    90d0n  
    OP
       2021-01-15 10:19:42 +08:00
    @AA5DE3F034ACCB9E #6 确实, 这是个大佬, 抓了好多 bug
    murmur
        9
    murmur  
       2021-01-15 10:25:57 +08:00
    阿里为啥不把折大佬招去福报,技术了得,也免得他到处发布
    payton93
        10
    payton93  
       2021-01-15 10:29:03 +08:00
    @cnxobo 我司还是依靠的舆情通报,安服、应急响应中心啥的
    Nich0la5
        11
    Nich0la5  
       2021-01-15 10:31:55 +08:00
    用 nacos 的公司现在估计是心肌梗塞的感觉
    xiangyuecn
        12
    xiangyuecn  
       2021-01-15 10:33:05 +08:00
    不管在哪,一堆 if else + return 迟早出逻辑问题,这种复杂的逻辑要我来写就 while(true),成功才 return,所有失败都 break,只有 if 没有 else,万无一失😂
    eason1874
        13
    eason1874  
       2021-01-15 10:39:18 +08:00   ❤️ 1
    开源项目的漏洞提交到阿里安全响应中心有奖励吗?

    不过,以他们那种嘴硬的态度,估计私下提交他们不一定认,还是公开提交效果好。
    tangzui
        14
    tangzui  
       2021-01-15 10:40:06 +08:00
    看错了 堪称 MacOs 了 淦
    YAR
        15
    YAR  
       2021-01-15 12:19:32 +08:00
    又来....
    Lonely
        16
    Lonely  
       2021-01-15 13:30:51 +08:00 via iPhone
    阿里开源少碰,不碰最好
    no1xsyzy
        17
    no1xsyzy  
       2021-01-15 13:54:06 +08:00
    @cnxobo 对大部分人来说还得依赖公开信息,主要是我等非专业人士就算拿到第一手也要花大力气才能看懂
    如果你是专业人士大概也不会问这问题,不过有功夫钻研的话,可以 CVE 和各自的 issue / bug tracker (拿 RSS 订阅,避免删 issue 这种行为),专门看自己相关的。

    @xiangyuecn 你这还不如所有失败就 throw 呢
    shuimugan
        18
    shuimugan  
       2021-01-15 15:10:59 +08:00 via Android
    去年我发邮件提了个未授权的漏洞被忽略,就懒得再提其它漏洞了。用开源的东西最好还是自己有点审计能力。
    learningman
        19
    learningman  
       2021-01-15 15:20:38 +08:00
    这人好 TM 屌啊
    思路很清晰,但是能找出来真 NB
    x66
        20
    x66  
       2021-01-15 15:23:58 +08:00
    不敢碰阿里开源的东西了。。
    ily433664
        21
    ily433664  
       2021-01-15 15:31:26 +08:00
    fastjson 之前也出过好几次漏洞
    duduaba
        22
    duduaba  
       2021-01-15 15:39:18 +08:00
    这老哥牛,文档能力不错,issue 规范,思路清晰有理有据
    intmax2147483647
        23
    intmax2147483647  
       2021-01-15 16:47:58 +08:00
    @murmur 人家为什么要去阿里啊,这是什么好公司吗?🤣
    so1n
        24
    so1n  
       2021-01-15 16:50:46 +08:00
    他修之前的 bug 没走流程 没有别人 review 就提交了...然后就出新 bug 了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2774 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 02:15 · PVG 10:15 · LAX 18:15 · JFK 21:15
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.