2.9. CVE-2017-12636:Apache CouchDB远程代码执行¶
| 日期: | 14.11.2017 |
|---|---|
| 影响: | Apache CouchDB的所有版本 |
| 严重程度: | 临界的 |
| 小贩: | Apache软件基金会 |
2.9.1. 描述¶
CouchDB管理用户可以通过HTTP(S)配置数据库服务器。一些配置选项包括CouchDB随后启动的操作系统级二进制文件的路径。这允许CouchDB管理员用户作为CouchDB用户执行任意shell命令,包括从公共互联网下载和执行脚本。
2.9.2. 缓解¶
所有用户都应该升级到CouchDB 1.7.1 或 2.1.1 .
从同一系列中以前的1.x和2.x版本升级应该是无缝的。
早期版本的用户或从1.x升级到2.x的用户应咨询升级说明。
2.9.3. 信用卡¶
此问题由发现 Joan Touzet 在调查期间 CVE-2017-12635 .