2.1. CVE-2010-0009:Apache CouchDB定时攻击漏洞

日期

31.03.2010

影响

apachecouchdb 0.8.0到0.10.1

严重程度

重要的

小贩

Apache软件基金会

2.1.1. 描述

Apache CouchDB版本早于版本 0.11.0 由于在验证哈希和密码时使用简单的不相等字符串比较,因此容易受到定时攻击,也称为旁道信息泄漏。

2.1.2. 缓解

所有用户都应该升级到CouchDB 0.11.0 . 升级自 0.10.x 系列应该是无缝的。早期版本的用户应咨询 upgrade notes .

2.1.3. 例子

攻击的规范描述可以在http://codahale.com/a-lesson-in-timing-attacks/

2.1.4. 信用卡

此问题由发现 杰森戴维斯 来自apachecouchdb开发团队。