【漏洞公告】CouchDB数据库未授权访问漏洞

漏洞描述

CouchDB 数据库如果配置不当存在未授权访问漏洞，可能被攻击者恶意利用。

• 攻击者无需认证即可访问到内部数据，从而导致敏感信息泄露。同时，攻击者也可以恶意清空所有数据。
• 攻击者可通过配置自定义函数，直接执行系统命令。

受影响范围

对公网开放，且未启用认证的 CouchDB 数据库服务器。

修复方案

1. 禁止 CouchDB 服务被外网访问

在 /etc/couchdb/local.ini 配置文件中找到bind_address = 0.0.0.0配置信息，将 0.0.0.0 修改为 127.0.0.1，然后保存配置文件。

注意：

• 修改配置后，需要重启 CouchDB 服务才能生效。
• 修改配置后，只有本机才能访问 CouchDB 服务。

2. 设置访问密码

在 /etc/couchdb/local.ini 配置文件中找到[admins]字段，在该字段后填写您需要设置的账号密码，然后保存配置文件。

注意：

• 修改配置后，需要重启 CouchDB 服务才能生效。
• 修改配置后，CouchDB 客户端也需要使用此密码来访问 CouchDB 服务。

3. 修改 CouchDB 服务运行账号

建议以较低权限账号运行 CouchDB 服务，且禁用该账号的系统登录权限。这样，可以限制攻击者执行高危命令，但是 CouchDB 数据还是能被黑客访问到，或者被黑客恶意删除。

注意： 修改配置后，需要重启 CouchDB 服务才能生效。

4. 设置防火墙策略

如果您的正常业务中 CouchDB 服务需要被其他服务器来访问，可以设置 iptables 策略仅允许指定的 IP 来访问 CouchDB 服务。