全部产品
云市场
云游戏

【漏洞公告】CVE-2017-12635/12636:Apache CouchDB 远程命令执行漏洞

更新时间:2018-03-08 16:21:56

阿里云威胁情报监控开源数据库Apache CouchDB于2017年11月7日发布新版本2.1.1&1.7.0/1.7.1,修复了两个远程命令执行高危漏洞,漏洞标号为CVE-2017-12635/12636。

漏洞详情见下文。


漏洞编号

CVE-2017-12635

CVE-2017-12636

漏洞名称

Apache CouchDB 远程命令执行漏洞

官方评级

高危

漏洞描述

  • CVE-2017-12635

由于CouchDB采用基于Erlang的JSON解析器,与基于JavaScript的JSON解析器不同,CouchDB可以在数据库中提交带有角色重复键的_users文档用于实现访问控制,甚至包括表示管理用户的_admin角色。恶意攻击者利用这一功能并结合CVE-2017-12636(远程执行代码)漏洞,可以使非管理员用户以数据库系统用户的身份访问服务器上的任意shell命令。

JSON解析器的差异带来以下影响:如果JSON中有两个角色密钥可用,则第一个角色密钥用于新创建的用户的后续授权,第二个将用于授权文档写入。按照设计,用户不能分配自己的角色。该漏洞允许非管理员用户获取管理员权限。

  • CVE-2017-13090

    CouchDB管理用户可以通过HTTP(S)配置数据库服务器,其中可以启用的配置选项包括操作系统级二进制文件的路径。这允许CouchDB管理员用户以CouchDB用户的身份执行任意shell命令,包括从公共互联网上下载和执行脚本。

漏洞利用条件和方式

远程利用

PoC状态

未公开

漏洞影响范围

CouchDB 1.x 和 2.x

不受影响:2.1.1 或者 1.7.0/1以后版本

漏洞检测

开发或运维人员检查是否使用了受影响版本范围内的Apache CouchDB,是否配置了强口令和网络访问控制策略。

漏洞修复建议(或缓解措施)

  • 公网Apache CouchDB实例

    • 建议您升级到最新版本。
    • 使用ECS安全组或防火墙策略,限制CouchDB端口暴露在互联网,设置精细化网络访问控制。
    • 开启认证功能,不要使用默认账号口令,配置自定义账号和强口令,防止暴力破解攻击事件。
  • 内网Apache CouchDB实例

    • 使用ECS安全组或防火墙策略,限制CouchDB端口暴露在互联网,设置精细化网络访问控制。
    • 开启认证功能,不要使用默认账号口令,配置自定义账号和强口令,防止暴力破解攻击事件。

情报来源