2.9. CVE-2017-12636:Apache CouchDB 远程代码执行¶
- 日期:
14.11.2017
- 受影响的:
所有版本的 Apache CouchDB
- 严重程度:
严重
- 供应商:
Apache 软件基金会
2.9.1. 描述¶
CouchDB 管理员可以通过 HTTP(S) 配置数据库服务器。一些配置选项包括操作系统级二进制文件的路径,这些二进制文件随后由 CouchDB 启动。这允许 CouchDB 管理员以 CouchDB 用户身份执行任意 shell 命令,包括从公共互联网下载和执行脚本。
2.9.2. 缓解措施¶
所有用户应升级到 CouchDB 1.7.1 或 2.1.1.
从同一系列的先前 1.x 和 2.x 版本升级应该是无缝的。
使用早期版本的用户或从 1.x 升级到 2.x 的用户应查阅升级说明。
2.9.3. 致谢¶
此问题由 CouchDB 安全团队的 Joan Touzet 在调查 CVE-2017-12635 时发现。