「安全狗高危安全通告」Apache CouchDB 远程代码执行漏洞

最新推荐文章于 2023-12-18 15:22:57 发布
最新推荐文章于 2023-12-18 15:22:57 发布
阅读量460 收藏
点赞数
分类专栏: 安全狗 文章标签: 漏洞安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bocco/article/details/124480228
版权

近日,安全狗应急响应中心监测到,Apache CouchDB官方发布了安全通告,漏洞编号为CVE-2022-24706。可导致远程攻击者获得管理员权限等危害。

漏洞描述

Apache CouchDB数据库,它类似于Redis,Cassandra和MongoDB,也是一个NoSQL数据库。CouchDB将数据存储为非关系性的JSON文档。这使得CouchDB的用户可以以与现实世界相似的方式来存储数据。

据Apache发布的官方描述,Apache CouchDB远程代码执行漏洞,是由CouchDB默认安装配置存在缺陷,最终可导致攻击者通过访问特定端口,绕过权限校验并获得管理员权限。

安全通告信息

官方安全建议

安装最新版本

CouchDB官方建议在所有CouchDB安装前设置防火墙。完整的CouchDB api在注册的端口5984上可用,这是单节点安装需要公开的唯一端口。不将单独的分发端口暴露给外部访问的安装不易受到攻击。

CouchDB 3.2.2及更高版本将强制修改默认的Erlang cookie值,并将所有CouchDB分发端口绑定到`127.0.0.1`或`::1`,来缓解此问题。

请评估业务是否受影响后,酌情升级至安全版本

备注:建议您在升级前做好数据备份工作,避免出现意外

参考连接:

https://lists.apache.org/thread/w24wo0h8nlctfps65txvk0oc5hdcnv00

https://www.mail-archive.com/announce@apache.org/msg07264.html

安全狗新闻
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CouchDB 未授权访问漏洞
锋刃科技的博客
07-04 1347
前言 Apache CouchDB是一个开源数据库,专注于易用性和成为"完全拥抱web的数据库"。它是一个使用JSON作为存储格式,JavaScript作为查询语言,MapReduce和HTTP作为API的NoSQL数据库。应用广泛,如BBC用在其动态内容展示平台,Credit Suisse用在其内部的商品部门的市场框架,Meebo,用在其社交平台(web和应用程序),默认会在5984端口开放Restful的API接口,如果使用SSL的话就会监听在6984端口,用于数据库的管理功能。其HTTP Serve
Apache CouchDB信息泄露漏洞(CVE-2023-26268)通告
05-05
Apache CouchDB信息泄露漏洞(CVE-2023-26268)通告
vulhub漏洞复现-CouchDB(CVE-2017-12635/6)垂直越权漏洞远程代码执行
遇事不决冲冲冲
11-03 3452
CouchDB Apache CouchDB是一个开源的数据库,面向文档的数据库管理系统,专注易用性"完全使用Web"。使用JSON作为存储格式,JavaScript为查询语言,MapReduce和HTTP作为API的NoSQL数据库 CVE-2017-12635垂直越权漏洞 思路 由于Erlang和JavaScript对JSON解析方式的不同,导致语句执行产生差异性导致的。可用于非管理员用户赋予自身管理员身份权限。 在Erlang: > jiffy:decode(“{“a”:”1″, “a”:”2
Apache couchdb 命令执行 (CVE-2017-12636)复现
YouthBelief的博客
11-04 766
couchdb 命令执行 (CVE-2017-12636) couchdb 命令执行 (CVE-2017-12636)0x01 漏洞描述0x02 影响范围0x03 漏洞复现工具复现0x04 漏洞修复 couchdb 命令执行 (CVE-2017-12636) Apache CouchDB是一个开源数据库,专注于易用性和成为"完全拥抱web的数据库"。它是一个使用JSON作为存储格式,JavaScript作为查询语言,MapReduce和HTTP作为API的NoSQL数据库。应用广泛,如BBC用在其动态内容展
Apache Struts2远程代码执行漏洞(CVE-2021-31805)安全通告
weixin_44254243的博客
04-15 6423
1. 事件描述 监测发现,开源应用框架Apache Struts存在远程代码执行漏洞(CVE-2021-31805),攻击者可构造恶意的OGNL表达式触发漏洞,实现远程代码执行。受影响版本为Apache Struts 2.0.0~2.5.29。目前,该漏洞已在Apache Struts 2.5.30版本中修复。 事件类型:漏洞利用 事件等级:高危 2. 影响范围 远程代码执行漏洞影响范围: 2.0.0<=Apache Struts <= 2.5.29 不受影响版本 Apache Struts
Apache CouchDB 远程代码执行漏洞风险通告(CVE-2022-24706)
云加速
05-01 742
Apachecouchdb官方发布安全通告,公告中修复了一个远程代码执行漏洞漏洞编号CVE-2022-24706。可导致远程攻击者获得管理员权限等危害。 为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。漏洞详情Apache CouchDB数据库,它类似于Redis,Cassandra和MongoDB,也是一个NoSQL数据库。 CouchDB将数据存储为非关系性的JSON文档。 这使得CouchDB的用户可以以与现实世界相似的方式来存..
Apache CouchDB 代码执行漏洞(CVE-2022-24706 )批量POC
苏落is菜鸡的博客
06-11 1853
CVE-2022-24706漏洞是由于3.2.2 版本之前的 CouchDB 的默认配置存在缺陷点, 攻击者可以在未进行身份验证的情况下访问不正确的默认安装进而获得管理员权限。该漏洞影响范围小,建议用户在所有 CouchDB 安装之前安装防火墙。完整的CouchDB api 在注册端口“5984”上可用,这是唯一的需要为单节点安装公开的端口。...
Apache CouchDB 垂直权限绕过漏洞 CVE-2017-12635 已亲自复现
qq_42430287的博客
12-18 1290
Apache CouchDB 垂直权限绕过漏洞 CVE-2017-12635 已亲自复现
Apache CouchDB 代码执行漏洞(CVE-2022-24706)
murphysec的博客
04-27 1412
CVE-2022-24706漏洞是由于3.2.2 版本之前的 CouchDB 的默认配置存在缺陷点, 攻击者可以在未进行身份验证的情况下访问不正确的默认安装进而获得管理员权限。该漏洞影响范围小,建议用户在所有 CouchDB 安装之前安装防火墙。完整的CouchDB api 在注册端口“5984”上可用,这是唯一的需要为单节点安装公开的端口。 编号      CVE-2022-24706 标题 Apache CouchDB 代码执行漏洞 描述 Apache CouchDB是一个开源数据库
Apache Couchdb 垂直权限绕过 CVE-2017-12635 漏洞复现
Senimo
07-16 434
CVE-2017-12635 Apache Couchdb 垂直权限绕过漏洞一、漏洞描述二、漏洞影响三、漏洞复现1、环境搭建2、漏洞复现四、漏洞POC参考链接 一、漏洞描述 Apache CouchDB 是一个开源数据库,用Erlang实现。专注于易用性和成为“完全拥抱 web 的数据库”。它是一个使用 JSON 作为存储格式,JavaScript 作为查询语言,MapReduce 和 HTTP 作为 API 的 NoSQL数据库。应用广泛,如 BBC 用在其动态内容展示平台,Credit Suisse 用
couchster:为Apache CouchDB构建全面的文档验证功能的工具
05-01
该实用程序可帮助为Apache CouchDB设计结构良好的文档验证功能。 使用此实用程序,所有JSON文档类型都以声明性JavaScript对象格式定义,从而消除了CouchDB 通常所需的许多样板,并全面验证了文件内容和权限。 这...
couchdb文档:Apache CouchDB文档
02-03
该存储库包含Apache CouchDB文档的Sphinx源代码。 您可以在以下位置查看此内容的最新渲染版本: http://docs.couchdb.org/en/latest 建立这个仓库 安装Python3和pip。 然后: $ python3 -m venv .venv $ source ....
couchdb-nano:Nano:Node.js的官方Apache CouchDB
02-04
错误-错误直接从CouchDB代理:如果您知道CouchDB,您已经知道nano 。 安装 安装 npm install nano 或将nano保存为项目的依赖项 npm install --save nano 请注意,Node.js的最低要求版本为10。 目录 ) 入门 要...
apache-couchdb-2.3.1.msi
07-22
CouchDB 是一个开源的面向文档的数据库管理系统,可以通过 RESTful JavaScript Object Notation (JSON) API 访问。术语 “Couch” 是 “Cluster Of Unreliable Commodity Hardware” 的首字母缩写,它反映了 CouchDB...
Java开发案例-springboot-19-校验表单重复提交-源代码+文档.rar
05-31
Java开发案例-springboot-19-校验表单重复提交-源代码+文档.rar Java开发案例-springboot-19-校验表单重复提交-源代码+文档.rar Java开发案例-springboot-19-校验表单重复提交-源代码+文档.rar Java开发案例-springboot-19-校验表单重复提交-源代码+文档.rar Java开发案例-springboot-19-校验表单重复提交-源代码+文档.rarJava开发案例-springboot-19-校验表单重复提交-源代码+文档.rar Java开发案例-springboot-19-校验表单重复提交-源代码+文档.rar
基于android的公司员工考勤综合信息平台源码.zip
05-31
提供的源码资源涵盖了安卓应用、小程序、Python应用和Java应用等多个领域,每个领域都包含了丰富的实例和项目。这些源码都是基于各自平台的最新技术和标准编写,确保了在对应环境下能够无缝运行。同时,源码中配备了详细的注释和文档,帮助用户快速理解代码结构和实现逻辑。 适用人群: 这些源码资源特别适合大学生群体。无论你是计算机相关专业的学生,还是对其他领域编程感兴趣的学生,这些资源都能为你提供宝贵的学习和实践机会。通过学习和运行这些源码,你可以掌握各平台开发的基础知识,提升编程能力和项目实战经验。 使用场景及目标: 在学习阶段,你可以利用这些源码资源进行课程实践、课外项目或毕业设计。通过分析和运行源码,你将深入了解各平台开发的技术细节和最佳实践,逐步培养起自己的项目开发和问题解决能力。此外,在求职或创业过程中,具备跨平台开发能力的大学生将更具竞争力。 其他说明: 为了确保源码资源的可运行性和易用性,特别注意了以下几点:首先,每份源码都提供了详细的运行环境和依赖说明,确保用户能够轻松搭建起开发环境;其次,源码中的注释和文档都非常完善,方便用户快速上手和理解代码;最后,我会定期更新这些源码资源,以适应各平台技术的最新发展和市场需求。
珍藏很久的一套源码升级了很多
05-31
很强大的阿凤飞飞的身份就把饭啦啊开房记录看妇科阿里看到就考虑是否就解放路口空间按时到路口附近开了房间卡拉的时间分开垃圾的浪费空间按可浪费阿克纠纷的看了觉得空房间看大神经费卡上的减肥快接啊看来积分卡时间分开拉丝机房里看见啦开恐怕为日文名弄法卡上的健康饭卡里解放开了哈嘎考虑对方好几万呢uaho时到路口附近开了房间卡拉的时间分开垃圾的浪费空间按可浪费阿克纠纷的看了觉得空房间看大神经费卡上的减肥快接啊看来积分卡时间分开拉丝机房里看见啦开恐怕为日文名弄法卡上的健康饭卡里解放开了哈嘎考虑对方好几万呢uaho上的健康饭卡里解放开了哈嘎考虑对方好几万呢uaho时到路口附近开了房间卡拉的时间分开垃圾的浪费空间按可浪费阿克纠纷的看了觉得空房间看大神经费卡上的减肥快接啊看来积分卡时间分开拉丝机房里看见啦开恐怕为日文名弄法卡上的健康饭卡里解放开了哈嘎考虑对方好几万呢uaho垃圾的浪费空间按可浪费阿克纠纷的看了觉得空房间看大神经费卡上的减肥快接啊看来积分卡时间分开拉丝机房里看见啦开恐怕为日文名弄法卡上的健康饭卡里解放开了哈嘎考虑对方好几万呢uaho上的健康饭卡里解放开了哈嘎考虑对方好几万呢uaho时到路口附近开
附件二六个指标与权重得分 - 副本.xlsx
最新发布
05-31
附件二六个指标与权重得分 - 副本
CouchDB常用的漏洞利用方法
05-27
3. 注入漏洞:攻击者可以向 CouchDB 服务器发送恶意数据,利用注入漏洞执行任意代码,从而控制服务器。 4. 配置错误漏洞:如果 CouchDB 服务器的配置存在错误,攻击者可以利用这些错误,绕过安全措施,访问和控制...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值