2.9. CVE-2017-12636:Apache CouchDB远程代码执行

日期

14.11.2017

影响

Apache CouchDB的所有版本

严重程度

临界的

小贩

Apache软件基金会

2.9.1. 描述

CouchDB管理用户可以通过HTTP（S）配置数据库服务器。一些配置选项包括CouchDB随后启动的操作系统级二进制文件的路径。这允许CouchDB管理员用户作为CouchDB用户执行任意shell命令，包括从公共互联网下载和执行脚本。

2.9.2. 缓解

所有用户都应该升级到CouchDB 1.7.1 或 2.1.1 .

从同一系列中以前的1.x和2.x版本升级应该是无缝的。

早期版本的用户或从1.x升级到2.x的用户应咨询升级说明。

2.9.3. 信用卡

此问题由发现 Joan Touzet 在调查期间 CVE-2017-12635 .