2. 安全问题/CVE¶
- 2.1. CVE-2010-0009:Apache CouchDB定时攻击漏洞
- 2.2. CVE-2010-2234:Apache CouchDB跨站点请求伪造攻击
- 2.3. CVE-2010-3854:Apache CouchDB跨站点脚本问题
- 2.4. CVE-2012-5641:Windows上通过URL中未转义的反斜杠进行信息披露
- 2.5. CVE-2012-5649:JSONP使用Adobe Flash执行任意代码
- 2.6. CVE-2012-5650:通过Futon UI基于DOM的跨站点脚本
- 2.7. CVE-2014-2668:DoS(CPU和内存消耗),通过/uuids的count参数
- 2.8. CVE-2017-12635:Apache CouchDB远程权限提升
- 2.9. CVE-2017-12636:Apache CouchDB远程代码执行
- 2.10. CVE-2018-11769:Apache CouchDB远程代码执行
- 2.11. CVE-2018-17188:Apache CouchDB远程权限升级
- 2.12. CVE-2018-8007:Apache CouchDB远程代码执行
- 2.13. CVE-2020-1955:Apache CouchDB远程权限提升
3. 报告apachecouchdb的新安全问题¶
Apache软件基金会在消除针对apachecouchdb的安全问题和拒绝服务攻击方面采取了非常积极的立场。
我们强烈建议人们先向我们的私人安全邮件列表报告此类问题,然后再在公共论坛上披露。
请注意,安全邮件列表只能用于报告apachecouchdb中未公开的安全漏洞,并管理修复这些漏洞的过程。我们不能接受此地址的常规错误报告或其他查询。所有发送到此地址的邮件,如果与apachecouchdb源代码中未公开的安全问题无关,则将被忽略。
如果您需要报告不是未公开的安全漏洞的bug,请使用 bug reporting page .
关于以下方面的问题:
- 如何安全配置CouchDB
- 如果某个漏洞适用于您的特定应用程序
- 获取有关已发布漏洞的更多信息
- 修补程序和/或新版本的可用性
地址应该是 users mailing list . 请看 mailing lists page 有关如何订阅的详细信息。
私人安全邮件地址为: security@couchdb.apache.org
请阅读 how the Apache Software Foundation handles security 报告以了解预期情况。
请注意,所有联网的服务器都会受到拒绝服务攻击,我们无法保证对一般问题(如客户端向服务器传输大量数据,或重复请求相同的URL)提供神奇的解决方案。一般来说,我们的理念是避免任何可能导致服务器消耗与输入大小呈非线性关系的攻击。