2.4. CVE-2012-5641:Windows上通过URL中未转义的反斜杠进行信息披露

日期

14.01.2013

影响

Apache CouchDB的所有基于Windows的版本(包括1.0.3、1.1.1和1.2.0)都易受攻击。

严重程度

适度的

小贩

Apache软件基金会

2.4.1. 描述

巧尽心思构建的请求可用于直接访问由内置CouchDB安全机制保护的内容。此请求可以二进制形式检索任何CouchDB数据库,包括 _users or `_ replication`数据库或用户帐户用于运行CouchDB的任何其他文件在本地文件系统上可能具有读取权限。此攻击是由于包含的MochiWeb HTTP库中的漏洞造成的。

2.4.2. 缓解

升级到包含此修复程序的受支持CouchDB版本,例如:

所有列出的版本都包含了MochiWeb组件的特定修复。

2.4.3. 解决办法

用户可以直接在配置文件中排除任何基于文件的web服务组件,通常在 local.ini . 对于默认的CouchDB安装,这需要修改 httpd_global_handlers/favicon.icohttpd_global_handlers/_utils 内的线条 httpd_global_handlers ::

[httpd_global_handlers]
favicon.ico = {couch_httpd_misc_handlers, handle_welcome_req, <<"Forbidden">>}
_utils = {couch_httpd_misc_handlers, handle_welcome_req, <<"Forbidden">>}

如果添加了其他处理程序,例如支持Adobe的Flash crossdomain.xml 文件,这些也需要排除。

2.4.4. 确认

Sriram Melkote发现了该问题,并将其报告给上游MochiWeb项目。