< 文档首页
全部产品
弹性计算
存储服务
数据库
网络
视频与CDN
域名与网站
工商财税 知识产权
应用服务
互联网中间件
移动研发平台 EMAS
移动研发平台EMAS-专有云
云通信
安全
大数据
人工智能
ET大脑
物联网
物联网行业方案
数字金融
管理与监控
云市场
API与工具
解决方案
钉钉
会员服务
更多

    【漏洞公告】CouchDB数据库未授权访问漏洞

    更新时间:2017-10-31 18:08:10

    ★ 我的收藏
    本页目录

    漏洞描述

    CouchDB 数据库如果配置不当存在未授权访问漏洞,可能被攻击者恶意利用。

    • 攻击者无需认证即可访问到内部数据,从而导致敏感信息泄露。同时,攻击者也可以恶意清空所有数据。
    • 攻击者可通过配置自定义函数,直接执行系统命令。

    受影响范围

    对公网开放,且未启用认证的 CouchDB 数据库服务器。

    修复方案

    1. 禁止 CouchDB 服务被外网访问

    在 /etc/couchdb/local.ini 配置文件中找到bind_address = 0.0.0.0配置信息,将 0.0.0.0 修改为 127.0.0.1,然后保存配置文件。

    注意

    • 修改配置后,需要重启 CouchDB 服务才能生效。
    • 修改配置后,只有本机才能访问 CouchDB 服务。

    2. 设置访问密码

    在 /etc/couchdb/local.ini 配置文件中找到[admins]字段,在该字段后填写您需要设置的账号密码,然后保存配置文件。

    注意

    • 修改配置后,需要重启 CouchDB 服务才能生效。
    • 修改配置后,CouchDB 客户端也需要使用此密码来访问 CouchDB 服务。

    3. 修改 CouchDB 服务运行账号

    建议以较低权限账号运行 CouchDB 服务,且禁用该账号的系统登录权限。这样,可以限制攻击者执行高危命令,但是 CouchDB 数据还是能被黑客访问到,或者被黑客恶意删除。

    注意: 修改配置后,需要重启 CouchDB 服务才能生效。

    4. 设置防火墙策略

    如果您的正常业务中 CouchDB 服务需要被其他服务器来访问,可以设置 iptables 策略仅允许指定的 IP 来访问 CouchDB 服务。

    上一篇:【漏洞公告】Redis 配置不当致使 root 被提权漏洞
    下一篇:【漏洞公告】帝国备份王 (empirebak) 存在任意登录漏洞
    相关文档