「安全狗高危安全通告」Apache CouchDB 远程代码执行漏洞

最新推荐文章于 2024-07-20 11:03:15 发布
最新推荐文章于 2024-07-20 11:03:15 发布
阅读量493 收藏
点赞数
分类专栏: 安全狗 文章标签: 漏洞安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bocco/article/details/124480228
版权

近日,安全狗应急响应中心监测到,Apache CouchDB官方发布了安全通告,漏洞编号为CVE-2022-24706。可导致远程攻击者获得管理员权限等危害。

漏洞描述

Apache CouchDB数据库,它类似于Redis,Cassandra和MongoDB,也是一个NoSQL数据库。CouchDB将数据存储为非关系性的JSON文档。这使得CouchDB的用户可以以与现实世界相似的方式来存储数据。

据Apache发布的官方描述,Apache CouchDB远程代码执行漏洞,是由CouchDB默认安装配置存在缺陷,最终可导致攻击者通过访问特定端口,绕过权限校验并获得管理员权限。

安全通告信息

官方安全建议

安装最新版本

CouchDB官方建议在所有CouchDB安装前设置防火墙。完整的CouchDB api在注册的端口5984上可用,这是单节点安装需要公开的唯一端口。不将单独的分发端口暴露给外部访问的安装不易受到攻击。

CouchDB 3.2.2及更高版本将强制修改默认的Erlang cookie值,并将所有CouchDB分发端口绑定到`127.0.0.1`或`::1`,来缓解此问题。

请评估业务是否受影响后,酌情升级至安全版本

备注:建议您在升级前做好数据备份工作,避免出现意外

参考连接:

https://lists.apache.org/thread/w24wo0h8nlctfps65txvk0oc5hdcnv00

https://www.mail-archive.com/announce@apache.org/msg07264.html

bocco
关注
专栏目录
CouchDB Erlang 分布式协议代码执行
失心少年
08-21 225
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。在CouchDB 3.2.1及以前版本中,使用了默认Cookie,值为“monster”,由于Erlang的特性,其支持分布式计算,分布式节点之间通过Erlang/OTP Distribution协议进行通信。1.利用Python执行如下POC。
CouchDB 未授权访问漏洞
玄道的网安博客
07-04 1381
前言 Apache CouchDB是一个开源数据库,专注于易用性和成为"完全拥抱web的数据库"。它是一个使用JSON作为存储格式,JavaScript作为查询语言,MapReduce和HTTP作为API的NoSQL数据库。应用广泛,如BBC用在其动态内容展示平台,Credit Suisse用在其内部的商品部门的市场框架,Meebo,用在其社交平台(web和应用程序),默认会在5984端口开放Restful的API接口,如果使用SSL的话就会监听在6984端口,用于数据库的管理功能。其HTTP Serve
vulhub漏洞复现-CouchDB(CVE-2017-12635/6)垂直越权漏洞远程代码执行
遇事不决冲冲冲
11-03 3498
CouchDB Apache CouchDB是一个开源的数据库,面向文档的数据库管理系统,专注易用性"完全使用Web"。使用JSON作为存储格式,JavaScript为查询语言,MapReduce和HTTP作为API的NoSQL数据库 CVE-2017-12635垂直越权漏洞 思路 由于Erlang和JavaScript对JSON解析方式的不同,导致语句执行产生差异性导致的。可用于非管理员用户赋予自身管理员身份权限。 在Erlang: > jiffy:decode(“{“a”:”1″, “a”:”2
Apache couchdb 命令执行 (CVE-2017-12636)复现
YouthBelief的博客
11-04 821
couchdb 命令执行 (CVE-2017-12636) couchdb 命令执行 (CVE-2017-12636)0x01 漏洞描述0x02 影响范围0x03 漏洞复现工具复现0x04 漏洞修复 couchdb 命令执行 (CVE-2017-12636) Apache CouchDB是一个开源数据库,专注于易用性和成为"完全拥抱web的数据库"。它是一个使用JSON作为存储格式,JavaScript作为查询语言,MapReduce和HTTP作为API的NoSQL数据库。应用广泛,如BBC用在其动态内容展
Apache Struts2远程代码执行漏洞(CVE-2021-31805)安全通告
weixin_44254243的博客
04-15 6534
1. 事件描述 监测发现,开源应用框架Apache Struts存在远程代码执行漏洞(CVE-2021-31805),攻击者可构造恶意的OGNL表达式触发漏洞,实现远程代码执行。受影响版本为Apache Struts 2.0.0~2.5.29。目前,该漏洞已在Apache Struts 2.5.30版本中修复。 事件类型:漏洞利用 事件等级:高危 2. 影响范围 远程代码执行漏洞影响范围: 2.0.0<=Apache Struts <= 2.5.29 不受影响版本 Apache Struts
Apache CouchDB 远程代码执行漏洞风险通告(CVE-2022-24706)
云加速
05-01 787
Apachecouchdb官方发布安全通告,公告中修复了一个远程代码执行漏洞漏洞编号CVE-2022-24706。可导致远程攻击者获得管理员权限等危害。 为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。漏洞详情Apache CouchDB数据库,它类似于Redis,Cassandra和MongoDB,也是一个NoSQL数据库。 CouchDB将数据存储为非关系性的JSON文档。 这使得CouchDB的用户可以以与现实世界相似的方式来存..
Apache CouchDB信息泄露漏洞(CVE-2023-26268)通告
05-05
Apache CouchDB 信息泄露漏洞(CVE-2023-26268)通告 Apache CouchDB 是一个开源的 NoSQL 文档数据库,以基于 JSON 的文档格式收集和存储数据,提供了高可用性和高可靠性。近日,深信服安全团队监测到 Apache ...
couchdb文档:Apache CouchDB文档
02-03
该存储库包含Apache CouchDB文档的Sphinx源代码。 您可以在以下位置查看此内容的最新渲染版本: http://docs.couchdb.org/en/latest 建立这个仓库 安装Python3和pip。 然后: $ python3 -m venv .venv $ source ....
python-couchdb-auditor:Apache CouchDB 服务器的 Python 审计工具
07-08
这个 python 端口的工具用于审计 Apache CouchDB 服务器配置和安全问题。 它有什么作用? 检查您的 CouchDB 版本的实际 CVE 问题(但是,它应该是相当老的); 提醒您修复 Admin Party 如果它在您的服务器上; ...
couchster:为Apache CouchDB构建全面的文档验证功能的工具
05-01
该实用程序可帮助为Apache CouchDB设计结构良好的文档验证功能。 使用此实用程序,所有JSON文档类型都以声明性JavaScript对象格式定义,从而消除了CouchDB 通常所需的许多样板,并全面验证了文件内容和权限。 这...
couchdb-nano:Nano:Node.js的官方Apache CouchDB
02-04
错误-错误直接从CouchDB代理:如果您知道CouchDB,您已经知道nano 。 安装 安装 npm install nano 或将nano保存为项目的依赖项 npm install --save nano 请注意,Node.js的最低要求版本为10。 目录 ) 入门 要...
Apache CouchDB 垂直权限绕过漏洞 CVE-2017-12635 已亲自复现
qq_42430287的博客
12-18 1375
Apache CouchDB 垂直权限绕过漏洞 CVE-2017-12635 已亲自复现
CouchDB漏洞复现
weixin_44259979的博客
10-07 840
CouchDB漏洞复现
服务攻防-数据库-cve复现
最新发布
m0_74402888的博客
07-20 941
在`v3.2.2`版本之前的`Apache CouchDB`中,可以在不进行身份验证的情况下访问不正确的默认安装并获得管理员权限,进而实现。
CVE-2022-24706 Apache CouchDB 远程命令执行漏洞
include_voidmain的博客
07-14 2744
CVE-2022-24706 Apache CouchDB 远程命令执行漏洞
erlang允许不同的节点有不同的cookie
erlang非业余研究
03-28 545
[color=red]节点间的认证是通过cookie运算挑战码再比较是否相同而决定节点间可否连接。[/color] 11.7 Security Authentication determines which nodes are allowed to communicate with each other. In a network of different Erlang nodes, ...
CouchDB 安装和使用
搬山境KL攻城狮的修炼手册
11-15 3431
CouchDB 安装和使用 文章目录CouchDB 安装和使用一、前言二、软件下载及安装三、系统配置1.防火墙设置2.关闭SeLinux四、软件配置1.修改couchdb配置文件2.修改erlang启动配置文件(集群模式)五、启动和关闭服务1.启动2.状态3.关闭4.开机启动六、API使用1.数据库列表2.UUID 一、前言 CouchDB是用Erlang开发的面向文档的数据库系统,2010年7月14日发布了1.0版本。CouchDB不是一个传统的关系数据库,而是面向文档的数据库,其数据存储方式有点类似l
Apache CouchDB 代码执行漏洞(CVE-2022-24706 )批量POC
苏落is菜鸡的博客
06-11 2029
CVE-2022-24706漏洞是由于3.2.2 版本之前的 CouchDB 的默认配置存在缺陷点, 攻击者可以在未进行身份验证的情况下访问不正确的默认安装进而获得管理员权限。该漏洞影响范围小,建议用户在所有 CouchDB 安装之前安装防火墙。完整的CouchDB api 在注册端口“5984”上可用,这是唯一的需要为单节点安装公开的端口。...
Apache CouchDB 代码执行漏洞(CVE-2022-24706)
murphysec的博客
04-27 1480
CVE-2022-24706漏洞是由于3.2.2 版本之前的 CouchDB 的默认配置存在缺陷点, 攻击者可以在未进行身份验证的情况下访问不正确的默认安装进而获得管理员权限。该漏洞影响范围小,建议用户在所有 CouchDB 安装之前安装防火墙。完整的CouchDB api 在注册端口“5984”上可用,这是唯一的需要为单节点安装公开的端口。 编号      CVE-2022-24706 标题 Apache CouchDB 代码执行漏洞 描述 Apache CouchDB是一个开源数据库
ActiveMQ与Apache HTTPD安全漏洞深度解析
6. Apache SSI远程命令执行漏洞:服务器端包含命令执行功能的Apache服务器面临风险,攻击者可通过恶意请求执行预定义的系统命令,严重时可能危害服务器安全。详情在/data/vulhub/httpd/ssi-rce/。 7. Aria2任意文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值