2.13. CVE-2020-1955:Apache CouchDB远程权限提升¶
| 日期: | 19.05.2020 |
|---|---|
| 影响: | 3.0.0 |
| 严重程度: | 培养基 |
| 小贩: | Apache软件基金会 |
2.13.1. 描述¶
couchdbversion3.0.0附带了一个新的配置设置,该设置控制对名为 require_valid_user_except_for_up . 它的意思是对长期存在的环境的延伸 require_valid_user ,这又要求对CouchDB的任何和所有请求都必须使用有效的凭据,从而有效地禁止任何匿名请求。
新的 require_valid_user_except_for_up 默认情况下是一个关闭设置,该设置允许除 /_up 端点。
但是,这个实现出现了一个错误,导致在启用时没有在任何端点上强制实施凭据。
2.13.2. 缓解¶
尚未启用的用户 require_valid_user_except_for_up 不受影响。
2.13.3. 信用卡¶
这个问题是由Stefan Klein发现的。