近期阿里云威脅情報(bào)監(jiān)控開源數(shù)據(jù)庫(kù)Apache CouchDB于2017年11月7日發(fā)布新版本2.1.1 &1.7.0/1.7.1以修復(fù)兩個(gè)遠(yuǎn)程命令執(zhí)行高危漏洞,漏洞標(biāo)號(hào)為:CVE-2017-12635/12636番电。
1.7.0/1.7.1
具體詳情如下:
漏洞編號(hào):
CVE-2017-12635
CVE-2017-12636
漏洞名稱:
Apache CouchDB 遠(yuǎn)程命令執(zhí)行漏洞
官方評(píng)級(jí):
高危
漏洞描述:
CVE-2017-12635
由于CouchDB基于Erlang的JSON解析器和基于JavaScript的JSON解析器的不同粘我,可以在數(shù)據(jù)庫(kù)中提交帶有用于訪問(wèn)控制的角色的重復(fù)鍵的_users文檔,包括表示管理用戶的特殊情況_admin角色瘫筐。 與CVE-2017-12636(遠(yuǎn)程執(zhí)行代碼)結(jié)合使用墙基,可以使非管理員用戶能夠以數(shù)據(jù)庫(kù)系統(tǒng)用戶的身份訪問(wèn)服務(wù)器上的任意shell命令。
JSON解析器的差異會(huì)導(dǎo)致行為:如果JSON中有兩個(gè)角色密鑰可用床牧,則第二個(gè)將用于授權(quán)文檔寫入,但第一個(gè)角色密鑰用于新創(chuàng)建的用戶的后續(xù)授權(quán)遭贸。 按照設(shè)計(jì)戈咳,用戶不能分配自己的角色。 該漏洞允許非管理員用戶給自己的管理員權(quán)限壕吹。
CVE-2017-13090
CouchDB管理用戶可以通過(guò)HTTP(S)配置數(shù)據(jù)庫(kù)服務(wù)器著蛙。 一些配置選項(xiàng)包括操作系統(tǒng)級(jí)二進(jìn)制文件的路徑,隨后由CouchDB啟動(dòng)耳贬。 這允許CouchDB管理員用戶以CouchDB用戶的身份執(zhí)行任意shell命令踏堡,包括從公共互聯(lián)網(wǎng)上下載和執(zhí)行腳本。
漏洞利用條件和方式:
遠(yuǎn)程利用
PoC狀態(tài):
未公開
漏洞影響范圍:
CouchDB 1.x and 2.x
不受影響:
2.1.1 或者 1.7.0/1以后版本
漏洞檢測(cè):
開發(fā)或運(yùn)維人員檢查是否使用了受影響版本范圍內(nèi)的Apache CouchDB咒劲,是否配置了強(qiáng)口令和網(wǎng)絡(luò)訪問(wèn)控制策略顷蟆。
漏洞修復(fù)建議(或緩解措施):
1.公網(wǎng)Apache CouchDB實(shí)例
建議您升級(jí)到最新版;
使用ECS安全組或防火墻策略腐魂,限制CouchDB端口暴露在互聯(lián)網(wǎng)帐偎,做好精細(xì)化網(wǎng)絡(luò)訪問(wèn)控制策略;
開啟認(rèn)證功能蛔屹,建議不要使用默認(rèn)賬號(hào)口令削樊,配置自定義賬號(hào)和強(qiáng)口令,防止暴力破解攻擊事件兔毒。
2.內(nèi)網(wǎng)Apache CouchDB實(shí)例
使用ECS安全組或防火墻策略漫贞,限制CouchDB端口暴露在互聯(lián)網(wǎng),做好精細(xì)化網(wǎng)絡(luò)訪問(wèn)控制育叁;
開啟認(rèn)證功能绕辖,建議不要使用默認(rèn)賬號(hào)口令,配置自定義賬號(hào)和強(qiáng)口令擂红,防止暴力破解攻擊事件仪际。
情報(bào)來(lái)源:
Apache CouchDB官方安全公告:https://blog.couchdb.org/2017/11/14/apache-couchdb-cve-2017-12635-and-cve-2017-12636
OSS-SEC:http://seclists.org/oss-sec/2017/q4/279
[ 此帖被正禾在2017-11-16 11:25重新編輯 ]
