2.7. CVE-2014-2668:通过 /_uuids 的 count 参数导致拒绝服务(CPU 和内存消耗)¶
- 日期:
26.03.2014
- 受影响版本:
Apache CouchDB 版本 1.3.1、1.4.0 和 1.5.0 及更早版本存在漏洞。
- 严重程度:
中等
- 供应商:
Apache 软件基金会
2.7.1. 描述¶
/_uuids 资源的 count 查询参数可以接受不合理的巨大数值,这会导致服务器资源(CPU 和内存)耗尽,并最终导致拒绝服务。
2.7.2. 缓解措施¶
升级到包含此修复程序的受支持的 CouchDB 版本,例如
所有列出的版本都包含针对
2.7.3. 解决方案¶
通过修改 local.ini 并重新启动 CouchDB,完全禁用 /_uuids 处理程序
[httpd_global_handlers]
_uuids =