2.12. CVE-2018-8007:Apache CouchDB远程代码执行¶
日期: | 30.04.2018 |
---|---|
影响: | Apache CouchDB的所有版本 |
严重程度: | 低 |
小贩: | Apache软件基金会 |
2.12.1. 描述¶
CouchDB管理用户可以通过HTTP(S)配置数据库服务器。由于管理员通过HTTP API提供的配置设置验证不足,CouchDB管理员用户可以通过绕过不允许通过HTTP API修改的配置设置的后列表,将其权限升级到CouchDB运行的操作系统用户的权限。
此权限提升有效地允许CouchDB管理员用户绕过任意远程代码执行 CVE-2017-12636
2.12.2. 缓解¶
所有用户都应该升级到CouchDB 1.7.2 或 2.1.2 .
从同一系列中以前的1.x和2.x版本升级应该是无缝的。
早期版本的用户或从1.x升级到2.x的用户应咨询升级说明。
2.12.3. 信用卡¶
这个问题是由弗朗西斯科·奥多发现的 MDSec Labs .