修复 nacos Jraft 文件读写漏洞 （AVD-2024-1743586）

此时一个靓仔的表情：

漏洞信息

Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。2024年8月，官方披露 Nacos Jraft 文件读写漏洞。原因是部分Jraft（端口默认值7848）请求磁盘操作时未限制文件路径导致，官方已发布 2.4.1和1.4.8 版本修复该漏洞。

影响范围

小于2.4.1

小于1.4.8

解决办法

1、升级至最新版本（推荐）

2、利用安全组设置 Jraft 仅对可信地址开放.

修复步骤

本次升级从2.3.2 升级到 2.4.1

注意：

升级步骤和nacos 漏洞 (CVE-2021-29441)升级步骤一致。

按照nacos 漏洞 (CVE-2021-29441) 修复步骤操作后启动，启动过程中查看启动日志，若启动日志中出现以下的异常。则需要修改启动脚本文件bin/startup.sh

修改启动脚本startup.sh。

在脚本中加入以下这两行配置。重新运行启动脚本即可。

# 新增这两行配置

# 根据上图，出现 opens java.lang 的异常，配置处理

JAVA_OPT="${JAVA_OPT} --add-opens java.base/java.lang=ALL-UNNAMED"

# 再次运行出现 opens java.util.concurrent.atomic 的异常，配置处理

JAVA_OPT="${JAVA_OPT} --add-opens java.base/java.util.concurrent.atomic=ALL-UNNAMED"

# 依次类推。出现什么异常就配置什么， 我这只有这两个异常，配置上去就行。

# 注意：上面两行的配置一定要放在这行配置之上。

JAVA_OPT="${JAVA_OPT} -jar ${BASE_DIR}/target/${SERVER}.jar"

如下图：

重启测试即可