2.9. CVE-2017-12636:Apache CouchDB远程代码执行¶
- 日期
14.11.2017
- 影响
Apache CouchDB的所有版本
- 严重程度
临界的
- 小贩
Apache软件基金会
2.9.1. 描述¶
CouchDB管理用户可以通过HTTP(S)配置数据库服务器。一些配置选项包括CouchDB随后启动的操作系统级二进制文件的路径。这允许CouchDB管理员用户作为CouchDB用户执行任意shell命令,包括从公共互联网下载和执行脚本。
2.9.2. 缓解¶
所有用户都应该升级到CouchDB 1.7.1 或 2.1.1 .
从同一系列中以前的1.x和2.x版本升级应该是无缝的。
早期版本的用户或从1.x升级到2.x的用户应咨询升级说明。
2.9.3. 信用卡¶
此问题由发现 Joan Touzet 在调查期间 CVE-2017-12635 .