2.13. CVE-2020-1955:Apache CouchDB 远程权限提升

日期:

19.05.2020

受影响版本:

3.0.0

严重程度:

中等

供应商:

Apache 软件基金会

2.13.1. 描述

CouchDB 3.0.0 版本附带了一个新的配置设置,用于控制对整个数据库服务器的访问控制,称为 require_valid_user_except_for_up。它旨在作为长期存在的设置 require_valid_user 的扩展,该设置要求对 CouchDB 的所有请求都必须使用有效的凭据进行,从而有效地禁止任何匿名请求。

新的 require_valid_user_except_for_up 是一个默认关闭的设置,旨在允许在除 /_up 端点之外的所有端点上要求有效的凭据。

但是,此实现存在错误,导致在启用时未在任何端点上强制执行凭据。

CouchDB 版本 3.0.13.1.0 修复了此问题。

2.13.2. 缓解措施

未启用 require_valid_user_except_for_up 的用户不受影响。

已启用该设置的用户可以将其再次禁用,或升级到 CouchDB 版本 3.0.13.1.0

2.13.3. 致谢

此问题由 Stefan Klein 发现。