2.11. CVE-2018-17188:Apache CouchDB远程权限升级¶
| 日期: | 17.12.2018 |
|---|---|
| 影响: | Apache CouchDB的所有版本 |
| 严重程度: | 培养基 |
| 小贩: | Apache软件基金会 |
2.11.1. 描述¶
在CouchDB版本2.3.0之前,CouchDB允许对数据库的关键组件进行运行时配置。在某些情况下,这会导致CouchDB管理员用户作为CouchDB用户访问底层操作系统的漏洞。与其他漏洞一起,它允许未经身份验证的用户进入完整的系统。
以下CVE报告修复并披露了这些漏洞:
- CVE-2018-11769: Apache CouchDB Remote Code Execution
- CVE-2018-8007: Apache CouchDB Remote Code Execution
- CVE-2017-12636: Apache CouchDB Remote Code Execution
- CVE-2017-12635: Apache CouchDB Remote Privilege Escalation
CouchDB开发团队没有等待新的漏洞被发现并在它们出现时进行修复,而是决定进行更改以避免这类漏洞。
在CouchDB版本2.3.0中,CouchDB不再能够在运行时配置关键组件。虽然CouchDB的特殊配置需要一定的灵活性,但配置从运行时可用改为启动时可用。因此现在需要shell访问CouchDB服务器。
这将关闭此类漏洞的所有未来路径。
2.11.3. 信用卡¶
这个问题是由苹果信息安全团队发现的。