Apache CouchDB 远程代码执行漏洞风险通告(CVE-2022-24706)

Apache CouchDB 官方发布安全通告,公告中修复了一个远程代码执行漏洞,漏洞编号CVE-2022-24706。可导致远程攻击者获得管理员权限等危害。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情Apache CouchDB数据库,它类似于Redis,Cassandra和MongoDB,也是一个NoSQL数据库。 CouchDB将数据存储为非关系性的JSON文档。 这使得CouchDB的用户可以以与现实世界相似的方式来存储数据。

据官方描述,由于CouchDB的默认安装配置存在缺陷,最终可导致攻击者通过访问特定端口,绕过权限校验并获得管理员权限。
风险等级高风险
漏洞风险攻击者利用该漏洞可导致远程获得管理员权限
影响版本CouchDB < 3.2.2

安全版本CouchDB >= 3.2.2

修复建议CouchDB 3.2.2 及更高版本将强制修改默认的 Erlang cookie 值,并将所有 CouchDB 分发端口绑定到 `127.0.0.1` 或 `::1`,来缓解此问题。

请评估业务是否受影响后,酌情升级至安全版本

【备注】:建议您在升级前做好数据备份工作,避免出现意外
漏洞参考https://lists.apache.org/thread/w24wo0h8nlctfps65txvk0oc5hdcnv00

给TA打赏
共{{data.count}}人
人已打赏
0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
在线客服
主机帮
我们将24小时内回复。
2024-10-30 22:31:09
您好,有任何疑问请与我们联系!
您的工单我们已经收到,我们将会尽快跟您联系!
[QQ客服]
176363189
当幸福来敲门
[小黄]
17307799197
[企业邮箱]
sudu@yunjiasu.cc
取消

选择聊天工具: