【漏洞公告】CVE-2017-12635/12636:Apache CouchDB 远程命令执行漏洞

近期阿里云威胁情报监控开源数据库Apache CouchDB于2017年11月7日发布新版本2.1.1 &1.7.0/1.7.1以修复两个远程命令执行高危漏洞，漏洞标号为:CVE-2017-12635/12636。

1.7.0/1.7.1

具体详情如下:

漏洞编号:

CVE-2017-12635

CVE-2017-12636

漏洞名称:

Apache CouchDB 远程命令执行漏洞

官方评级:

高危

漏洞描述:

CVE-2017-12635

由于CouchDB基于Erlang的JSON解析器和基于JavaScript的JSON解析器的不同，可以在数据库中提交带有用于访问控制的角色的重复键的_users文档，包括表示管理用户的特殊情况_admin角色。 与CVE-2017-12636（远程执行代码）结合使用，可以使非管理员用户能够以数据库系统用户的身份访问服务器上的任意shell命令。

JSON解析器的差异会导致行为：如果JSON中有两个角色密钥可用，则第二个将用于授权文档写入，但第一个角色密钥用于新创建的用户的后续授权。 按照设计，用户不能分配自己的角色。 该漏洞允许非管理员用户给自己的管理员权限。

CVE-2017-13090

CouchDB管理用户可以通过HTTP（S）配置数据库服务器。 一些配置选项包括操作系统级二进制文件的路径，随后由CouchDB启动。 这允许CouchDB管理员用户以CouchDB用户的身份执行任意shell命令，包括从公共互联网上下载和执行脚本。

漏洞利用条件和方式:

远程利用

PoC状态:

未公开

漏洞影响范围:

CouchDB 1.x and 2.x

不受影响：

2.1.1 或者 1.7.0/1以后版本

漏洞检测:

开发或运维人员检查是否使用了受影响版本范围内的Apache CouchDB，是否配置了强口令和网络访问控制策略。

漏洞修复建议(或缓解措施):

1.公网Apache CouchDB实例

建议您升级到最新版；

使用ECS安全组或防火墙策略，限制CouchDB端口暴露在互联网，做好精细化网络访问控制策略；

开启认证功能，建议不要使用默认账号口令，配置自定义账号和强口令，防止暴力破解攻击事件。

2.内网Apache CouchDB实例

使用ECS安全组或防火墙策略，限制CouchDB端口暴露在互联网，做好精细化网络访问控制；

开启认证功能，建议不要使用默认账号口令，配置自定义账号和强口令，防止暴力破解攻击事件。

情报来源:

Apache CouchDB官方安全公告:https://blog.couchdb.org/2017/11/14/apache-couchdb-cve-2017-12635-and-cve-2017-12636

OSS-SEC：http://seclists.org/oss-sec/2017/q4/279

[ 此帖被正禾在2017-11-16 11:25重新编辑 ]

原文链接