Apache CouchDB 官方发布安全通告,公告中修复了一个远程代码执行漏洞,漏洞编号CVE-2022-24706。可导致远程攻击者获得管理员权限等危害。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情Apache CouchDB数据库,它类似于Redis,Cassandra和MongoDB,也是一个NoSQL数据库。 CouchDB将数据存储为非关系性的JSON文档。 这使得CouchDB的用户可以以与现实世界相似的方式来存储数据。
据官方描述,由于CouchDB的默认安装配置存在缺陷,最终可导致攻击者通过访问特定端口,绕过权限校验并获得管理员权限。
风险等级高风险
漏洞风险攻击者利用该漏洞可导致远程获得管理员权限
影响版本CouchDB < 3.2.2
安全版本CouchDB >= 3.2.2
修复建议CouchDB 3.2.2 及更高版本将强制修改默认的 Erlang cookie 值,并将所有 CouchDB 分发端口绑定到 `127.0.0.1` 或 `::1`,来缓解此问题。
请评估业务是否受影响后,酌情升级至安全版本
【备注】:建议您在升级前做好数据备份工作,避免出现意外
漏洞参考https://lists.apache.org/thread/w24wo0h8nlctfps65txvk0oc5hdcnv00
