Af Torben B. Sørensen, 22/11/17
Udviklerne af databasen CouchDB har lukket to alvorlige sikkerhedshuller.
Ved at udnytte to sårbarheder i Apache CouchDB kan angribere få administratorprivilegier. Den ene sårbarhed giver også mulighed for at afvikle kommandoer.
CouchDB er en database, der ikke er en relationsdatabase. Den opbevarer data i form af nøgle-værdi-par.
Den ene sårbarhed skyldes, at databasens interne parser og en Javascript-baseret parser ikke behandler data på samme måde.
Fejlene er rettet i CouchDB version 2.1.1 og 1.7.0/1.7.1.
Anbefaling
Opdater til en rettet version.
Links
- Apache CouchDB CVE-2017-12635 and CVE-2017-12636
- Remote Code Execution in CouchDB, blogindlæg af Max Justicz
- Critical Vulnerabilities Patched in Apache CouchDB, artikel fra SecurityWeek