2.4. CVE-2012-5641:Windows 上 URL 中未转义的反斜杠导致的信息泄露¶
- 日期:
14.01.2013
- 受影响版本:
所有基于 Windows 的 Apache CouchDB 版本,包括但不限于 1.0.3、1.1.1 和 1.2.0,都存在漏洞。
- 严重程度:
中等
- 供应商:
Apache 软件基金会
2.4.1. 描述¶
精心构造的请求可用于直接访问原本受 CouchDB 内置安全机制保护的内容。此请求可以以二进制形式检索任何 CouchDB 数据库,包括 _users 或 _replication 数据库,或运行 CouchDB 的用户帐户在本地文件系统上可能具有读取权限的任何其他文件。此漏洞是由于包含的 MochiWeb HTTP 库中的漏洞造成的。
2.4.2. 缓解措施¶
升级到包含此修复程序的受支持的 CouchDB 版本,例如
所有列出的版本都包含针对 MochiWeb 组件的特定修复程序。
2.4.3. 解决方案¶
用户只需在配置文件(通常在 local.ini 中)中直接排除任何基于文件的 Web 服务组件。在默认的 CouchDB 安装中,这需要修改 httpd_global_handlers 中的 httpd_global_handlers/favicon.ico 和 httpd_global_handlers/_utils 行。
[httpd_global_handlers]
favicon.ico = {couch_httpd_misc_handlers, handle_welcome_req, <<"Forbidden">>}
_utils = {couch_httpd_misc_handlers, handle_welcome_req, <<"Forbidden">>}
如果添加了其他处理程序(例如,为了支持 Adobe 的 Flash crossdomain.xml 文件),则也需要排除这些处理程序。
2.4.4. 致谢¶
该问题由 Sriram Melkote 发现并报告给上游 MochiWeb 项目。