2.11. CVE-2018-17188:Apache CouchDB远程权限升级

日期

17.12.2018

影响

Apache CouchDB的所有版本

严重程度

培养基

小贩

Apache软件基金会

2.11.1. 描述

在CouchDB版本2.3.0之前,CouchDB允许对数据库的关键组件进行运行时配置。在某些情况下,这会导致CouchDB管理员用户作为CouchDB用户访问底层操作系统的漏洞。与其他漏洞一起,它允许未经身份验证的用户进入完整的系统。

以下CVE报告修复并披露了这些漏洞:

CouchDB开发团队没有等待新的漏洞被发现并在它们出现时进行修复,而是决定进行更改以避免这类漏洞。

在CouchDB版本2.3.0中,CouchDB不再能够在运行时配置关键组件。虽然CouchDB的特殊配置需要一定的灵活性,但配置从运行时可用改为启动时可用。因此现在需要shell访问CouchDB服务器。

这将关闭此类漏洞的所有未来路径。

2.11.2. 缓解

所有用户都应该升级到CouchDB 2.3.0 .

从同一系列中以前的2.x版本升级应该是无缝的。

早期版本的用户应参考升级说明。

2.11.3. 信用卡

这个问题是由苹果信息安全团队发现的。