2.1. CVE-2010-0009：Apache CouchDB 定时攻击漏洞¶

日期:: 31.03.2010
受影响版本:: Apache CouchDB 0.8.0 到 0.10.1
严重程度:: 重要
供应商:: Apache 软件基金会

2.1.1. 描述¶

在版本 0.11.0 之前的 Apache CouchDB 版本容易受到定时攻击（也称为侧信道信息泄露）的影响，这是因为在验证哈希和密码时使用了简单的断点不等式字符串比较。

2.1.2. 缓解措施¶

所有用户都应升级到 CouchDB 0.11.0。从 0.10.x 系列升级应该是无缝的。早期版本的使用者应参考升级说明。

2.1.3. 示例¶

可以在 http://codahale.com/a-lesson-in-timing-attacks/ 中找到攻击的规范描述。

2.1.4. 致谢¶

此问题由 Apache CouchDB 开发团队的 Jason Davies 发现。

Read the Docs v: 稳定版

版本: 最新; 稳定版; 3.3.3.post4; 3.2.3-docs

下载: pdf; html; epub

在 Read the Docs 上: 项目主页; 构建