2.13. CVE-2020-1955:Apache CouchDB远程权限提升

日期

19.05.2020

影响

3.0.0

严重程度

培养基

小贩

Apache软件基金会

2.13.1. 描述

couchdbversion3.0.0附带了一个新的配置设置,该设置控制对名为 require_valid_user_except_for_up . 它的意思是对长期存在的环境的延伸 require_valid_user ,这又要求对CouchDB的任何和所有请求都必须使用有效的凭据,从而有效地禁止任何匿名请求。

新的 require_valid_user_except_for_up 默认情况下是一个关闭设置,该设置允许除 /_up 端点。

但是,这个实现出现了一个错误,导致在启用时没有在任何端点上强制实施凭据。

CouchDB版本 3.0.13.1.0 解决此问题。

2.13.2. 缓解

尚未启用的用户 require_valid_user_except_for_up 不受影响。

启用它的用户可以再次禁用它,或者升级到CouchDB版本 3.0.13.1.0

2.13.3. 信用卡

这个问题是由Stefan Klein发现的。