近期canal社区收到关于canal admin鉴权功能通过adminPassword默认值进行撞击,绕过身份验证安全漏洞的问题。
考虑默认的安全风险,计划v1.1.8版本做如下变更:
- canal admin针对与canal-server通讯时,使用application.yml中配置的canal.adminPassword
- canal-server使用canal.properties中配置canal.passwd和canal.admin.passwd,分别控制client链接server、以及server链接admin之间的权限控制
新版本移除自带的password默认值,并在password未传入或非法时阻止节点启动来提醒用户设置自定义password
近期canal社区收到关于canal admin鉴权功能通过adminPassword默认值进行撞击,绕过身份验证安全漏洞的问题。
考虑默认的安全风险,计划v1.1.8版本做如下变更:
新版本移除自带的password默认值,并在password未传入或非法时阻止节点启动来提醒用户设置自定义password