2.7. CVE-2014-2668:DoS(CPU和内存消耗),通过/uuids的count参数

日期

26.03.2014

影响

ApacheCouchDB 1.3.1、1.4.0和1.5.0版本都存在漏洞。

严重程度

适度的

小贩

Apache软件基金会

2.7.1. 描述

这个 /_uuids 资源 count 查询参数会取不合理的巨大数值,导致服务器资源(CPU和内存)耗尽,导致DoS。

2.7.2. 缓解

升级到包含此修复程序的受支持CouchDB版本,例如:

所有列出的版本都包含了一个特定的修复

2.7.3. 解决办法

禁用 /_uuids 通过适应 local.ini 重新启动CouchDB::

[httpd_global_handlers]
_uuids =