Apache CouchDB 遠(yuǎn)程代碼執(zhí)行漏洞預(yù)警（CVE-2022-24706）

2022-04-28

一、概要

近日，華為云關(guān)注到Apache CouchDB官方發(fā)布安全公告，披露在 Apache CouchDB 3.2.2 之前的版本中存在一處遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2022-24706）。由于CouchDB的默認(rèn)安裝配置存在缺陷，攻擊者可以利用該缺陷在沒有身份認(rèn)證的情況下訪問特定端口并獲得管理員權(quán)限，最終可導(dǎo)致遠(yuǎn)程代碼執(zhí)行。

Apache CouchDB 是一個(gè)開源的面向文檔的NoSQL數(shù)據(jù)庫(kù)。華為云提醒使用Apache CouchDB的用戶及時(shí)安排自檢并做好安全加固。

參考鏈接：https://docs.couchdb.org/en/stable/cve/2022-24706.html

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

Apache CouchDB< 3.2.2

安全版本：

Apache CouchDB>= 3.2.2

四、漏洞處置

1、目前官方已發(fā)布修復(fù)版本修復(fù)了該漏洞，請(qǐng)受影響的用戶升級(jí)到安全版本：

https://couchdb.apache.org/

2、根據(jù)官方建議在所有CouchDB安裝之前使用防火墻。完整的CouchDB api可在注冊(cè)端口`5984`上使用，這是唯一單節(jié)點(diǎn)安裝需要公開的端口。并將CouchDB分發(fā)端口開放給可信IP訪問。

注：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。