芒竹云公告 > 公告详情

【安全通告】Apache CouchDB 远程代码执行漏洞风险通告(CVE-2022-24706)

发布时间:2022-04-29 20:30:13
尊敬的芒竹云用户,您好!
芒竹云安全运营中心监测到, Apache CouchDB 官方发布安全通告,公告中修复了一个远程代码执行漏洞,漏洞编号CVE-2022-24706。可导致远程攻击者获得管理员权限等危害。
为避免您的业务受影响,芒竹云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
Apache CouchDB数据库,它类似于Redis,Cassandra和MongoDB,也是一个NoSQL数据库。 CouchDB将数据存储为非关系性的JSON文档。 这使得CouchDB的用户可以以与现实世界相似的方式来存储数据。

据官方描述,由于CouchDB的默认安装配置存在缺陷,最终可导致攻击者通过访问特定端口,绕过权限校验并获得管理员权限。

风险等级
高风险
漏洞风险
攻击者利用该漏洞可导致远程获得管理员权限
影响版本
CouchDB < 3.2.2
安全版本
CouchDB >= 3.2.2
修复建议
CouchDB 3.2.2 及更高版本将强制修改默认的 Erlang cookie 值,并将所有 CouchDB 分发端口绑定到 `127.0.0.1` 或 `::1`,来缓解此问题。

请评估业务是否受影响后,酌情升级至安全版本
【备注】:建议您在升级前做好数据备份工作,避免出现意外
漏洞参考

https://lists.apache.org/thread/w24wo0h8nlctfps65txvk0oc5hdcnv00


/template/Home/qcloud/PC/Static