2.4. CVE-2012-5641:Windows上通过URL中未转义的反斜杠进行信息披露¶
日期: | 14.01.2013 |
---|---|
影响: | Apache CouchDB的所有基于Windows的版本(包括1.0.3、1.1.1和1.2.0)都易受攻击。 |
严重程度: | 适度的 |
小贩: | Apache软件基金会 |
2.4.1. 描述¶
巧尽心思构建的请求可用于直接访问由内置CouchDB安全机制保护的内容。此请求可以二进制形式检索任何CouchDB数据库,包括 _users or `_ replication`数据库或用户帐户用于运行CouchDB的任何其他文件在本地文件系统上可能具有读取权限。此攻击是由于包含的MochiWeb HTTP库中的漏洞造成的。
2.4.3. 解决办法¶
用户可以直接在配置文件中排除任何基于文件的web服务组件,通常在 local.ini . 对于默认的CouchDB安装,这需要修改 httpd_global_handlers/favicon.ico 和 httpd_global_handlers/_utils 内的线条 httpd_global_handlers ::
[httpd_global_handlers]
favicon.ico = {couch_httpd_misc_handlers, handle_welcome_req, <<"Forbidden">>}
_utils = {couch_httpd_misc_handlers, handle_welcome_req, <<"Forbidden">>}
如果添加了其他处理程序,例如支持Adobe的Flash crossdomain.xml 文件,这些也需要排除。
2.4.4. 确认¶
Sriram Melkote发现了该问题,并将其报告给上游MochiWeb项目。