鉴于哪吒在TG上的公告传播效果有限,转载官方公告内容于此提醒各位版友
公告原链接 发布于5月31日
https://t.me/nezhanews/395
更新方式:运行nezha安装脚本 nezha.sh 选择更新与重启即可
关于哪吒监控旧版本安全缺陷的风险提示与自查建议
正如此前公告中提到,哪吒监控旧版本存在多个安全缺陷。为降低潜在安全风险,我们强烈建议所有用户立即更新到最新版本,并根据自身部署情况开展必要的安全自查。
相关漏洞由安全研究人员报告。部分问题在修复版本发布后陆续公开披露。基于负责任披露原则,同时考虑到当时未发现相关问题被大规模利用的明确证据,我们未在修复完成前公开漏洞细节。现修复版本、更新提醒和相关安全公告均已发布,出于透明、负责的态度,我们对相关缺陷的影响范围和处置建议进行说明。
相关披露信息可参考项目 GitHub Security Advisories 页面。感谢安全研究人员和社区用户对项目安全性的报告与反馈。
一、主要影响范围
根据已公开的安全公告,旧版本中的相关缺陷主要涉及以下几类风险:
- 未登录场景下的敏感配置文件读取风险;
- 多用户场景下的权限隔离和资源归属校验不足;
- 计划任务、告警规则、终端、文件管理等功能的权限边界不足;
- 通知、Webhook、DDNS、NAT 等网络请求或转发类功能的校验不足;
- 实时监控数据、服务监控数据等信息展示接口的权限过滤不完整。
上述问题在不同版本、不同配置和不同部署场景下影响程度不同,并不意味着所有实例都受到同等影响,也不代表相关问题已经被大规模利用。但由于其中部分问题可能导致敏感配置泄露、会话伪造、跨用户访问、内部服务探测,甚至被监控节点执行非预期命令,因此建议所有仍在使用旧版本的用户尽快升级,并结合自身情况开展自查。
二、未登录场景下的敏感配置泄露风险
部分旧版本在处理 Dashboard 前端资源路径时存在路径判断不严谨的问题。在特定构造的请求下,攻击者可能在未登录的情况下读取 Dashboard 工作目录中的敏感文件。
在默认部署场景中,相关敏感文件可能包含配置文件、数据库文件或其他运行数据。其中,配置文件中可能包含 Agent 连接密钥、OAuth2 应用密钥、通知服务 Token、Webhook Token 等敏感信息。
该类问题不要求攻击者拥有普通用户账号。因此,只要 Dashboard 曾以受影响版本暴露在公网,均建议按照较高风险场景处理。
建议相关用户重点检查并处理以下事项:
- 立即升级 Dashboard 至最新版本;
- 重新生成或更换 JWT 会话签名密钥、Agent 连接密钥;
- 修改管理员密码,并检查是否存在陌生管理员或异常用户;
- 轮换配置文件中保存的 OAuth2 Secret等外部凭据;
- 检查是否存在异常 Agent 未授权访问、异常数据库访问、异常静态资源请求、路径穿越请求,或针对配置文件、数据库文件的访问尝试。
三、多用户及功能权限隔离风险
除未登录访问问题外,旧版本还存在多项与多用户权限隔离相关的缺陷。这类问题主要影响启用了多用户、多租户、客户分组管理,或向普通用户开放部分 Dashboard 功能的部署场景。
若您的实例中存在普通用户、客户账号、临时账号,或将同一 Dashboard 用于管理不同用户、客户、业务分组的服务器,请立即更新至最新版本,并优先开展自查。
在受影响版本中,部分接口存在权限校验、资源归属校验或实时会话归属校验不足的问题。在特定条件下,低权限用户可能获取其权限范围外的服务器监控信息;通过通知、Webhook、DDNS 等功能从 Dashboard 所在服务器发起请求,带来内部服务探测或访问风险;也可能创建、触发或关联其无权管理的任务,造成非预期命令执行风险。
建议使用过多用户功能的实例重点检查:
- 是否存在不明普通用户、临时账号或历史遗留账号;
- 是否存在普通用户创建的异常计划任务、告警规则或通知配置;
- 是否存在目标范围异常的任务、空服务器范围任务、全局任务或异常任务绑定;
- 是否存在异常 WebSocket 连接、异常终端操作、异常文件访问或未知来源的会话记录;
- 是否存在异常通知渠道、Webhook、DDNS Profile、NAT Profile;
- 是否存在指向内网地址、本机地址、Dashboard 自身域名、管理域名、云厂商元数据地址或未知域名的配置;
- 是否有普通用户访问了不属于其权限范围的服务器状态、服务详情、服务历史或隐藏服务数据。
如发现异常,应及时停用相关账号,删除异常任务或配置,保留日志,并进一步排查 Dashboard 主机和相关被监控服务器。
nezha现在怎么经常出漏洞
所以我换探针了
感谢分享