Couchbase Alerts

CVE	Synopse	Auswirkungen (CVSS)	Produkte	Betrifft Version	Reparierte Version	Datum der Veröffentlichung
CVE-2025-52490	Sicherheitslücke bei der Offenlegung von Anmeldeinformationen im Sync Gateway-Protokollerfassungsprozess In Sync Gateway wurde eine Sicherheitslücke festgestellt, die in bestimmten Situationen zur unbeabsichtigten Offenlegung von Anmeldeinformationen im Zusammenhang mit der Protokollerfassung für den Support führte. Dies betraf die Anmeldeinformationen, die zum Starten der Protokollerfassung verwendet wurden. Wir empfehlen, auf Sync Gateway 3.2.6 zu aktualisieren, das dieses Problem behebt, und alle Anmeldeinformationen zu rotieren, die während des betroffenen Zeitraums zum Starten der Protokollerfassung verwendet wurden.	Mittel (6.5)	Couchbase Sync Gateway	3.2.5, 3.2.4, 3.2.3, 3.2.2, 3.2.1, 3.2.0, 3.1.x, 3.0.x	3.2.6	Juli 2025
CVE-2025-49015	.NET SDK v3.7.1 und früher konnte die Überprüfung des Hostnamens des Zertifikats überspringen In .NET SDK v3.7.1 und früher wurde die Überprüfung des Hostnamens für TLS-Zertifikate nicht in allen Fällen ordnungsgemäß durchgesetzt.	Mittel (4.9)	Couchbase .NET SDK	3.7.0, 3.6.x, 3.5.x, 3.4.x, 3.3.x, 3.2.x, 3.1.x, 3.0.x	3.7.1	Juni 2025
CVE-2024-30171 CVE-2024-29857 CVE-2024-30172	Aktualisieren Sie Bouncy Castle auf 1.79 Ein Problem wurde in Bouncy Castle Java Cryptography APIs vor 1.78 entdeckt. Eine Ed25519-Verifizierungscode-Endlosschleife kann über eine manipulierte Signatur und einen öffentlichen Schlüssel auftreten.	Mittel (6.9)	Couchbase Server	Server 7.6.5, 7.6.4, 7.6.3, 7.6.2, 7.6.1, 7.6.0, 7.2.6, 7.2.5, 7.2.4, 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x	Server 7.6.6, 7.2.7	Mai 2025
CVE-2025-46619	Lokale Dateieinschluss-Schwachstelle in Couchbase Server für Windows entdeckt In Couchbase Server für Windows wurde eine Sicherheitslücke entdeckt, die unautorisierten Zugriff auf sensible Dateien auf dem System ermöglichen könnte. Abhängig vom Grad der Berechtigung kann diese Schwachstelle Zugriff auf Dateien wie / etc / passwd oder / etc / shadow gewähren.	Hoch (8.7)	Couchbase Server	Server 7.6.3, 7.6.2, 7.6.1, 7.6.0, 7.2.6, 7.2.5, 7.2.4, 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x, 5.x, 4.x, 3.x, 2.x	Server 7.6.4, 7.2.7	April 2025
CVE-2024-21235	JDK auf 17.0.13 aktualisieren Diese Sicherheitslücke ist schwer auszunutzen, ermöglicht es aber einem nicht authentifizierten Angreifer mit Netzwerkzugang über mehrere Protokolle, die betroffenen Produkte zu kompromittieren. Eine erfolgreiche Ausnutzung könnte zu nicht autorisierten Aktualisierungen, Einfügungen oder Löschungen von zugänglichen Daten sowie zu einem nicht autorisierten Lesezugriff auf bestimmte Datenuntergruppen führen.	Mittel (4.8)	Couchbase Server	Server 7.6.3, 7.6.2, 7.6.1, 7.6.0, 7.2.6, 7.2.5, 7.2.4, 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x	Server 7.6.4, 7.2.7	April 2025
CVE-2024-56178	Unerlaubte Erstellung eines Benutzers mit erweiterten Rollen Ein Benutzer mit der Rolle "security_admin_local" könnte einen neuen Benutzer in einer Gruppe mit der Rolle "admin" erstellen und so möglicherweise erweiterte Rechte über die vorgesehenen Berechtigungen hinaus gewähren.	Mittel (6.9)	Couchbase Server	Server 7.6.3, 7.6.2, 7.6.1, 7.6.0	Server 7.6.4	Dezember 2024
CVE-2024-21094 CVE-2024-21011 CVE-2024-21068 CVE-2024-21012	JDK auf 17.0.11 aktualisieren Die Schwachstelle ermöglicht es nicht authentifizierten Angreifern mit Netzwerkzugang über mehrere Protokolle, Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition zu kompromittieren. Erfolgreiche Angriffe auf diese Schwachstelle können zu unautorisiertem Aktualisierungs-, Einfüge- oder Löschzugriff auf einige der Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition zugänglichen Daten führen.	Niedrig (3.7)	Couchbase Server	Server 7.6.1, 7.6.0, 7.2.5 7.2.4, 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x	Server 7.6.2, 7.2.6	August 2024
CVE-2016-2183 CVE-2016-6329	Cluster-Management-Ports anfällig für SWEET32-Sicherheitslücke. Die DES- und Triple-DES-Chiffren, die in den TLS-, SSH- und IPSec-Protokollen sowie in anderen Protokollen und Produkten verwendet werden, haben eine Geburtstagsgrenze von etwa vier Milliarden Blöcken, was es Angreifern erleichtert, über einen Geburtstagsangriff auf eine verschlüsselte Sitzung von langer Dauer Klartextdaten zu erhalten, wie eine HTTPS-Sitzung mit Triple-DES im CBC-Modus, auch bekannt als "Sweet32"-Angriff, zeigt.	Hoch (8.7)	Couchbase Server	Server 7.2.5, 7.2.4, 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x, 5.x 4.x 3.x, 2.x	Server 7.6.0, 7.2.6	August 2024
CVE-2024-25673	Schwachstelle in der Header-Manipulation. Der Host-Header einer eingehenden HTTP-Anfrage wurde blind in den Location-Header kopiert.	Mittel (4.2)	Couchbase Server	Server 7.6.1, 7.6.0, 7.2.5, 7.2.4, 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x, 5.x, 4.x, 3.x, 2.x	Server 7.6.2, 7.2.6	August 2024
CVE-2024-37034	Die Anmeldeinformationen werden mit KV unter Verwendung von SCRAM-SHA ausgehandelt, wenn die Remote Link-Verschlüsselung für HALF konfiguriert ist. SDK verhandelt standardmäßig mit SCRAM-SHA, was es einem MITM ermöglicht, PLAIN-Anmeldeinformationen auszuhandeln.	Mittel (5.9)	Couchbase Server	Server 7.6.0, 7.2.4, 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x	Server 7.6.1, 7.2.5	Juli 2024
CVE-2024-0519	Aktualisieren Sie v8 auf 12.1.285.26. Ein Out-of-Bounds-Speicherzugriff in V8 in Google Chrome vor 120.0.6099.224 ermöglicht es einem entfernten Angreifer, eine Heap Corruption über eine gestaltete HTML-Seite auszunutzen.	Hoch (8.8)	Couchbase Server	Server 7.2.4, 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.4, 7.1.3, 7.1.2, 7.1.1, 7.1.0, 7.0.x, 6.x, 5.x, 4.x, 3.x, 2.x	Server 7.6.2, 7.2.5	Juli 2024
CVE-2023-50782	Aktualisieren Sie pyca-cryptography auf 42.0.5. Im Paket python-cryptography wurde ein Fehler gefunden. Dieses Problem kann es einem entfernten Angreifer ermöglichen, erfasste Nachrichten in TLS-Servern zu entschlüsseln, die RSA-Schlüsselaustausch verwenden, was zur Offenlegung vertraulicher oder sensibler Daten führen kann.	Hoch (7.5)	Couchbase Server	Server 7.6.1, 7.6.0	Server 7.6.2, 7.2.5	Juli 2024
CVE-2023-49338	Der Endpunkt Query Service stats war ohne Authentifizierung zugänglich. Der Query-Statistik-Endpunkt implementierte keine korrekte Authentifizierung, wodurch es möglich war, die Statistikinformationen anzuzeigen.	Mittel (5.3)	Couchbase Server	Server 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x, 5.x, 4.x	Server 7.2.4	Januar 2024
CVE-2023-45873	Benutzer mit der Rolle Datenleser konnte den Datendienst OOM beenden. Ein Benutzer mit der Berechtigung "Datenleser" konnte den Datendienst abschalten, indem er GetKeys sendete, die eine große Anzahl von Dokumenten anforderten, was einen "Out-of-Memory"-Fehler (OOM) auslöste.	Mittel (6.5)	Couchbase Server	Server 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.6.x, 6.5.x	Server 7.2.4	Januar 2024
CVE-2023-45874	Datenleser könnten die Leser-Threads DOS-gesteuert sein. Ein Benutzer mit der Datenleserrolle könnte einen Datendienst-Leser-Thread für längere Zeit blockieren, indem er eine große Anzahl von Schlüsseln anfordert, und möglicherweise alle Leser-Threads blockieren, indem er denselben Befehl über mehrere Verbindungen ausgibt.	Mittel (4.3)	Couchbase Server	Server 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.6.x, 6.5.x	Server 7.2.4	Januar 2024
CVE-2023-43769	Nicht authentifizierte RMI-Service-Ports im Analysedienst offengelegt. Bei den Netzwerk-Ports 9119 und 9121 handelte es sich um nicht authentifizierte RMI-Service-Ports, die vom Analytics-Service gehostet wurden, was zu einer Eskalation der Rechte führen konnte.	Kritisch (9.1)	Couchbase Server	Server 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x	Server 7.2.4	Januar 2024
CVE-2023-50437	otpCookie wurde einem Benutzer mit der Rolle Full Admin auf den API-Endpunkten serverGroups und engageCluster2 des Cluster Managers angezeigt. Der otpCookie des Clusters wurde Benutzern mit der Rolle "Full Admin" am API-Endpunkt serverGroups und sowohl Cluster Admin als auch Full Admin am API-Endpunkt engageCluster2 zugespielt. Dies könnte dazu verwendet werden, die Privilegien zu erhöhen.	Hoch (8.6)	Couchbase Server	Server 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x, 5.x, 4.x, 3.x, 2.x	Server 7.2.4	Januar 2024
CVE-2023-49931	SQL++ cURL-Aufrufe an / diag / eval waren nicht ausreichend eingeschränkt. Der Aufruf von cURL über SQL++ (N1QL) unter Verwendung des Abfragedienstes an den Endpunkt localhost / diag / eval wurde nicht vollständig verhindert.	Hoch (8.6)	Couchbase Server	Server 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x, 5.x	Server 7.2.4	Januar 2024
CVE-2023-49932	SQL++ N1QL cURL Host-Einschränkungen Implementierungsproblem. Der SQL++ (N1QL) cURL allowlist-Schutz im Query Service war nicht ausreichend, um den Zugriff auf eingeschränkte Hosts zu verhindern.	Mittel (5.3)	Couchbase Server	Server 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x, 5.x	Server 7.2.4	Januar 2024
CVE-2023-49930	Eventing SQL++ cURL-Aufrufe zu diag eval waren nicht ausreichend eingeschränkt. Der Aufruf von cURL über SQL++ (N1QL) über den Eventing Service an den diag eval Endpunkt des lokalen Hosts wurde nicht vollständig verhindert.	Hoch (8.6)	Couchbase Server	Server 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.5.x	Server 7.2.4	Januar 2024
CVE-2023-50436	Der interne Full-Admin-Benutzer für die Cluster-Verwaltung hat seine Anmeldedaten in die Protokolldatei übertragen. Ein Logging-Ereignis führte dazu, dass die internen @ns_server-Admin-Zugangsdaten in verschlüsselter Form in diag.log durchgesickert sind.	Niedrig (2.1)	Couchbase Server	Server 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.6, 7.1.5	Server 7.2.4	Januar 2024
CVE-2024-23302	TLS-Privatschlüssel in der XDCR-Protokolldatei durchgesickert. Der für die Cross Datacenter Replication (XDCR) verwendete private Schlüssel wurde im goxdcr.log veröffentlicht.	Niedrig (2.1)	Couchbase Server	Server 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x, 5.x, 4.5.x	Server 7.2.4	Januar 2024
CVE-2023-38545	Aktualisieren Sie cURL auf 8.4.0. Der Fehler in curl führt zum Überlauf eines Heap-basierten Puffers im SOCKS5-Proxy-Handshake.	Kritisch (9.8)	Couchbase Server	Server 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.6.x, 6.5.x	Server 7.2.4	Januar 2024
CVE-2023-5678	Aktualisieren Sie auf OpenSSL 3.1.4. Bei Anwendungen, die die Funktionen DH_generate_key() zur Erzeugung eines X9.42 DH-Schlüssels verwenden, und bei Anwendungen, die DH_check_pub_key(), DH_check_pub_key_ex() oder EVP_PKEY_public_check() zur Überprüfung eines X9.42 DH-Schlüssels oder von X9.42 DH-Parametern verwenden, können lange Verzögerungen auftreten. Wenn der Schlüssel oder die Parameter, die geprüft werden, aus einer nicht vertrauenswürdigen Quelle stammen, kann dies zu einem Denial of Service führen.	Mittel (5.3)	Couchbase Server	Server 7.2.3, 7.2.2, 7.2.1, 7.2.0, 7.1.x, 7.0.x, 6.x, 5.x, 4.x, 3.x, 2.x	Server 7.2.4	Januar 2024
CVE-2023-44487	Aktualisieren Sie gRPC auf v1.58.3. Das HTTP/2-Protokoll ermöglicht eine Dienstverweigerung, da der Abbruch von Anfragen viele Streams schnell zurücksetzen kann.	Hoch (7.5)	Couchbase Server	Server 7.2.2, 7.2.1, 7.2.0, 7.1.5, 7.1.4, 7.1.3, 7.1.2, 7.1.1, 7.1.0, 7.0.x, 6.x, 5.x, 4.x	Server 7.2.3, 7.1.6	November 2023
CVE-2023-44487	Aktualisieren Sie Golang auf 1.20.10. Das HTTP/2-Protokoll ermöglicht eine Dienstverweigerung, da der Abbruch von Anfragen viele Streams schnell zurücksetzen kann.	Hoch (7.5)	Couchbase Server	Server 7.2.2, 7.2.1, 7.2.0, 7.1.5, 7.1.4, 7.1.3, 7.1.2, 7.1.1, 7.1.0, 7.0.x, 6.x, 5.x, 4.x	Server 7.2.3, 7.1.6	November 2023
CVE-2023-0464	Aktualisieren Sie auf OpenSSL 1.1.1u. Eine Schwachstelle in OpenSSL im Zusammenhang mit der Überprüfung von X.509-Zertifikatsketten, die Richtlinieneinschränkungen enthalten, die es Angreifern ermöglichen würde, diese Schwachstelle auszunutzen, indem sie eine bösartige Zertifikatskette erstellen, die eine exponentielle Nutzung von Rechenressourcen auslöst, was zu einem Denial-of-Service (DoS)-Angriff auf betroffene Systeme führt.	Hoch (7.5)	Couchbase Server	Server 7.2.0, 7.1.4, 7.1.3, 7.1.2, 7.1.1, 7.1.0, 7.0.x, 6.x, 5.x, 4.x, 3.x, 2.x	Server 7.2.1, 7.1.5	November 2023
CVE-2022-41723	Aktualisierung von GoLang auf 1.19.9. Ein in böser Absicht erstellter HTTP/2-Stream könnte einen übermäßigen CPU-Verbrauch im HPACK-Decoder verursachen, der ausreicht, um eine Dienstverweigerung durch eine kleine Anzahl von kleinen Anfragen zu verursachen.	Hoch (7.5)	Couchbase Server	Server 7.2.0, 7.1.4, 7.1.3, 7.1.2, 7.1.1, 7.1.0, 7.0.x, 6.x, 5.x, 4.x	Server 7.2.1, 7.1.5	November 2023
CVE-2023-3079 CVE-2023-2033	Aktualisieren Sie V8 auf 11.4.185.1. Eine Typenverwirrung in V8 in Google Chrome vor 114.0.5735.110 ermöglicht es einem entfernten Angreifer, eine Heap Corruption über eine gestaltete HTML-Seite auszunutzen.	Hoch (8.0)	Couchbase Server	Server 7.2.0, 7.1.4, 7.1.3, 7.1.2, 7.1.1, 7.1.0, 7.0.x, 6.x, 5.x, 4.x, 3.x, 2.x	Server 7.2.1, 7.1.5	November 2023
CVE-2023-21930 CVE-2023-21954 CVE-2023-21967 CVE-2023-21939 CVE-2023-21938 CVE-2023-21937 CVE-2023-21968	Aktualisieren Sie OpenJDK auf 11.0.19. Aktualisieren Sie OpenJDK auf Version 11.0.19, um zahlreiche CVEs zu beheben.	Hoch (7.4)	Couchbase Server	Server 7.1.4, 7.1.3, 7.1.2, 7.1.1, 7.1.0, 7.0.x, 6.6.x	Server 7.1.5	November 2023
CVE-2023-36667	Windows-Traversal-Sicherheitslücke. Die Couchbase Server Windows UI erlaubt es einem Angreifer, das Dateisystem zu durchsuchen und Dateien anzuzeigen, auf die Couchbase Zugriff hat. Diese Schwachstelle erfordert keine Authentifizierung. Sie kann einfach durch Anhängen von Ordnern/Dateien an die URL der Couchbase Server Admin UI ausgenutzt werden.	Hoch (7.5)	Couchbase Server	Server 7.2.0, 7.1.4, 7.1.3, 7.1.2, 7.1.1, 7.1.0, 7.0.x, 6.x, 5.x, 4.x, 3.x, 2.x	Server 7.2.1, 7.1.5	November 2023
CVE-2023-43768	Nicht authentifizierte Benutzer können dazu führen, dass memcached der Speicher ausgeht. Ein böswilliger Benutzer kann einen Memcached-Server leicht zum Absturz bringen, indem er sich mit dem Server verbindet und umfangreiche Befehle sendet.	Hoch (7.5)	Couchbase Server	Server 7.2.0, 7.1.4, 7.1.3, 7.1.2, 7.1.1, 7.1.0, 7.0.x, 6.6.x	Server 7.2.1, 7.1.5	November 2023
CVE-2023-45875	Privatschlüssel-Leck in debug.log beim Hinzufügen von Vor-7.0-Knoten zu 7.2-Clustern. Der private Schlüssel wird in debug.log übertragen, wenn ein Vor-7.0-Knoten zu einem 7.2-Cluster hinzugefügt wird.	Mittel (4.4)	Couchbase Server	Server 7.2.0	Server 7.2.1	November 2023
CVE-2022-41881 CVE-2022-41915	Aktualisieren Sie Netty auf 4.1.86.Final oder höher. In Versionen vor 4.1.86.Final kann ein StackOverflowError ausgelöst werden, wenn eine fehlerhaft gestaltete Nachricht aufgrund einer unendlichen Rekursion analysiert wird.	Niedrig (2.2)	Couchbase Server	Server 6.6.6, 7.0.5, 7.1.3	Server 7.2.0, 7.1.4	Mai 2023
CVE-2023-28470	Volltextsuche (FTS) nsstats-Endpunkt ist ohne Authentifizierung zugänglich. Der FTS stats Endpunkt unter / api / nsstats implementiert keine korrekte Authentifizierung, so dass es möglich ist, die Namen von Couchbase Server Buckets, die Namen von FTS Indizes und die Konfiguration von FTS Indizes ohne Authentifizierung einzusehen. Der Inhalt der Buckets und Indizes wird nicht angezeigt.	Mittel (5.3)	Couchbase Server	Server 7.1.3, 7.1.2, 7.1.1, 7.1.0, 7.0.x, 6.6.x	Server 7.1.4	März 2023
CVE-2023-25016	Bei einem Absturz während einer Knotenverbindung können Anmeldeinformationen in die Protokolle gelangen. Bei einem Ausfall der Knotenverbindung können die unredigierten Anmeldedaten des Benutzers, der die REST-Anfrage stellt, in die Protokolldateien gelangen.	Mittel (6.3)	Couchbase Server	Server 7.1.1, 7.1.0, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x, 5.x, 4.x, 3.x, 2.x	Server 7.1.2, 7.0.5, 6.6.6	Januar 2023
CVE-2022-42951	Dem Couchbase Cluster Manager fehlen Zugriffskontrollen während eines Neustarts des Clusterknotens. Während des Starts eines Couchbase-Serverknotens gibt es eine kurze Zeitspanne, in der das Sicherheits-Cookie auf "nocookie" gesetzt ist, wodurch die Zugriffskontrolle auf das Erlang-Verteilungsprotokoll fehlt. Wenn ein Angreifer während dieser Zeit eine Verbindung zu diesem Protokoll herstellt, kann er beliebigen Code aus der Ferne auf jedem Clusterknoten zu jedem Zeitpunkt ausführen, bis die Verbindung getrennt wird. Der ausgeführte Code wird mit den gleichen Rechten wie der Couchbase Server ausgeführt.	Kritisch (9.8)	Couchbase Server	Server 7.1.1, 7.1.0, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5.x	Server 7.1.2, 7.0.5, 6.6.6	Januar 2023
CVE-2022-42004 CVE-2022-42003	Aktualisierung von Jackson Databind auf 2.13.4.2+, wie es im Analytics Service verwendet wird, um Sicherheitslücken zu beheben. Eine Erschöpfung der Ressourcen des Couchbase Analytics Service kann auftreten, weil eine Prüfung fehlt, die die Verwendung von tief verschachtelten Arrays verhindert.	Hoch (7.5)	Couchbase Server	Server 7.1.2, 7.1.1, 7.1.0, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1 6.6.0 6.5.x, 6.0.x, 5.x, 4.x	Server 7.1.3, 7.0.5, 6.6.6	Januar 2023
CVE-2022-42950	Eine manipulierte HTTP-Anfrage an die REST-API kann einen OOM des Sicherungsdienstes verursachen. Ein extrem großer (oder unbegrenzter) HTTP-Anfragekörper kann dazu führen, dass der Sicherungsdienst einen OOM-Fehler (Out-of-Memory) verursacht.	Mittel (4.9)	Couchbase Server	Server 7.1.1, 7.1.0, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0	Server 7.1.2, 7.0.5	Januar 2023
CVE-2022-1096	Aktualisierung der V8 Javascript Engine auf 10.7.x. Die v8 Javascript-Engine, wie sie im Couchbase Server Eventing Service, View Engine, XDCR und N1QL UDFs verwendet wird, wurde aktualisiert, da es in Versionen vor 99.0.4844.84 eine Typverwechslung gibt, die es einem entfernten Angreifer ermöglicht, eine Heap Corruption über eine manipulierte Anfrage auszunutzen.	Hoch (8.8)	Couchbase Server	Server 7.1.1, 7.1.0, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.x, 5.x, 4.x, 3.x, 2.x	Server 7.1.2, 7.0.5	Januar 2023
CVE-2021-41561	Aktualisierung von Apache Parquet auf 1.12.3. Ein Angreifer kann Parquet-Dateien, wie sie optional vom Couchbase Analytics Service verwendet werden, verwenden, um einen Denial of Service (DoS) auszulösen, wenn bösartige Dateien falsche Werte im Dateiseiten-Header enthalten (z.B. negative Werte, wo ein positiver Wert erwartet wird). Dies wird durch ein Update der Apache Parquet Bibliothek auf eine neuere Version behoben.	Hoch (7.5)	Couchbase Server	Server 7.1.1, 7.1.0	Server 7.1.2	November 2022
CVE-2022-37026	Aktualisierung von Erlang auf Version 24.3.4.4. Bei der Verwendung der tls/ssl-Funktion in Couchbase Server ist es möglich, die Client-Authentifizierung in bestimmten Situationen zu umgehen. Insbesondere sind alle Anwendungen, die den ssl/tls/dtls Server und die Client-Zertifizierungsoption "{verify, verify_peer}" verwenden, von dieser Schwachstelle betroffen. Korrekturen wurden auf den unterstützten Spuren mit den Patches 23.3.4.15, 24.3.4.2 und 25.0.2 der erlang/OTP-Laufzeit veröffentlicht. Es sind nur Cluster betroffen, die eine zertifikatsbasierte Authentifizierung verwenden.	Kritisch (9.8)	Couchbase Server	Server 7.1.1, 7.1.0	Server 7.1.2	November 2022
CVE-2022-32556	Bei bestimmten Abstürzen wird der private Schlüssel in die Protokolldateien übertragen. Bestimmte seltene Abstürze können dazu führen, dass der private Schlüssel des erzeugten Zertifikats in den Protokolldateien auftaucht.	Mittel (6.3)	Couchbase Server	Server 7.1.0, 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x, 5.x, 4.x, 3.x	Server 7.1.1, 7.0.4, 6.6.6	Juli 2022
CVE-2022-24675 CVE-2022-23772 CVE-2022-24921	Aktualisierung von GoLang auf eine Version von mindestens 1.17.9 oder 1.18.1. Die Programmiersprache Go und die zugehörigen Bibliotheken, die in mehreren Couchbase Server Services verwendet werden, wurden auf die Versionen 1.17.9+ oder 1.18.1+ aktualisiert, um zahlreiche CVEs zu beheben.	Hoch (7.5)	Couchbase Server	Server 7.1.0, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5x, 6.0.x, 5.x, 4.x	Server 7.1.1, 7.0.5, 6.6.6	Juli 2022
CVE-2020-36518	Aktualisierung der jackson-databind-Bibliothek auf Version 2.13.2.2. jackson-databind, vor 2.13.0 ermöglicht eine Java StackOverflow Exception und Denial of Service über eine große Tiefe von verschachtelten Objekten. Diese Bibliothek wird von dem Couchbase Server Analytics Service verwendet	Mittel (6.5)	Couchbase Server	Server 7.1.0, 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x	Server 7.1.1, 7.0.4, 6.6.6	Juli 2022
CVE-2022-1292	Aktualisierung von openssl auf 1.1.1o. Openssl wurde aktualisiert, um eine Schwachstelle in einer Openssl-Komponente, c_rehash, zu beheben. Dieses Skript durchsucht Verzeichnisse und nimmt einen Hash-Wert von jeder .pem- und .crt-Datei im Verzeichnis. Anschließend erstellt es symbolische Links für jede der durch den Hashwert benannten Dateien. Es hat einen Fehler, der die Einschleusung von Befehlen in das Skript ermöglicht.	Kritisch (9.8)	Couchbase Server	Server 7.1.0, 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5.x	Server 7.1.1, 7.0.4, 6.6.6	Juli 2022
CVE-2022-34826	Die Passphrase des verschlüsselten privaten Schlüssels kann in den Protokollen auftauchen. In Couchbase Server 7.1.0 und neuer ist es möglich, dem Couchbase Server eine Passphrase zu geben, um einen verschlüsselten TLS Private Key zu entsperren. Diese Passphrase wurde in den Logdateien als Base64 kodierter String gefunden, wenn einer der Couchbase Services, außer dem Data Service, gestartet wurde. Dies betrifft den Index Service, den Query Service, den Analytics Service, den Backup Service und den Eventing Service, wenn das optionale Feature der verschlüsselten TLS Schlüssel verwendet wird. Beachten Sie, dass ein Angreifer sowohl Zugriff auf die Protokolle als auch auf den privaten Schlüssel haben muss, um Angriffe wie einen Man-in-the-Middle-Angriff oder die Entschlüsselung der Netzwerkkommunikation durchführen zu können. Die Verwendung von Betriebssystemschutzmechanismen zur Einschränkung des Zugriffs auf diese Dateien kann eine wirksame Strategie zur Eindämmung des Problems darstellen.	Mittel (4.4)	Couchbase Server	Server 7.1.0	Server 7.1.1	Juli 2022
CVE-2021-42581	Aktualisierung von ramda, einer client-seitigen Javascript-Bibliothek auf Version 0.28, wie sie in der Couchbase Server UI verwendet wird. Ramda 0.27.0 und frühere Versionen ermöglichen es Angreifern, die Integrität oder Verfügbarkeit einer Anwendung zu beeinträchtigen, indem sie ein manipuliertes Objekt (das eine eigene Eigenschaft "{}proto{}" enthält) als Argument an die Funktion übergeben, was als Prototype Pollution bezeichnet wird. Angriffe vom Typ "Prototype Pollution" ermöglichen es, die Eingabevalidierung zu umgehen und eine unerwartete Javascript-Ausführung auszulösen.	Kritisch (9.1)	Couchbase Server	Server 7.1.0, 7.0.x	Server 7.1.1	Juli 2022
CVE-2021-44906	Update von js-beautify auf 1.14.3, einer clientseitigen Javascript-Bibliothek, die in der Couchbase Server UI verwendet wird. js-beautify hat eine Abhängigkeit mit einer bekannten Schwachstelle, Minimist. Minimist <=1.2.5 ist anfällig für Prototype Pollution über die Datei index.js, Funktion setKey() (Zeilen 69-95). Angriffe durch Prototype Pollution ermöglichen es, die Eingabevalidierung zu umgehen und eine unerwartete Javascript-Ausführung auszulösen.	Kritisch (9.8)	Couchbase Server	Server 7.1.0, 7.0.x	Server 7.1.1	Juli 2022
CVE-2022-33911	Feldnamen werden in protokollierten Validierungsmeldungen für Analytics Service nicht geschwärzt. Wenn sekundäre Indizes mit dem Couchbase Server Analytics Service erstellt werden, gibt es einige Validierungen der indizierten Felder, die dem Benutzer gemeldet und protokolliert werden. Die Fehlermeldung mit dem Code ASX0013 wird in mehreren Pfaden verwendet, um zu melden und zu protokollieren, dass es einen doppelten Feldnamen gibt. Die Feldnamen in diesen protokollierten Überprüfungsmeldungen werden nicht geschwärzt. Auch die Fehlermeldungen mit dem Code ASX1079 enthalten Feldnamen, die nicht geschwärzt sind.	Niedrig (1.8)	Couchbase Server	Server 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5.x	Server 7.0.4, 6.6.6	Juni 2022
CVE-2022-33173	Analytics Remote Links kann vorübergehend auf eine Nicht-TLS-Verbindung umschalten, um den TLS-Port zu ermitteln. Wenn der Aufbau einer TLS-Verbindung für eine mit encryption=full konfigurierte Analytik-Remote-Verbindung fehlschlägt, versucht die Laufzeitumgebung, den (nicht standardmäßigen) TLS-Port zu ermitteln, indem sie eine Nicht-TLS-Verbindung zum Remote-Cluster herstellt und SCRAM-SHA zur Authentifizierung verwendet. Da bei SCRAM-SHA die Anmeldeinformationen nicht gemeinsam genutzt werden, ist nicht zu erwarten, dass das System die vorgeschriebene Verschlüsselungsstufe, die eine TLS-Verbindung spezifiziert, herabsetzen würde. Dieser Fallback-Mechanismus wurde entfernt, und wenn es nicht gelingt, eine TLS-Verbindung herzustellen, schlägt CONNECT LINK einfach fehl, bis der richtige TLS-Port als Teil der Link-Konfiguration angegeben wird.	Niedrig (2.0)	Couchbase Server	Server 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0	Server 7.0.4, 6.6.6	Juni 2022
CVE-2022-32565	Das Protokoll des Sicherungsdienstes enthält unredigierte Benutzernamen und Dokument-IDs. Wenn der Sicherungsdienst eine Audit-Meldung nicht protokolliert, werden die Audit-Protokolldaten in die Datei backup_service.log übertragen, die nicht geschwärzt wird.	Niedrig (1.8)	Couchbase Server	Server 7.0.x	Server 7.1.0	Juni 2022
CVE-2020-14040	Aktualisieren Sie das Paket golang.org/x/text auf 0.3.4 oder höher. Das golang.org/x/text/encoding/unicode-Paket, das dazu führen konnte, dass der UTF-16-Decoder in eine Endlosschleife geriet, wodurch das Programm abstürzte oder keinen Speicher mehr hatte.	Hoch (7.5)	Couchbase Server	Server 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x, 5.x	Server 7.0.4, 6.6.6	Juni 2022
CVE-2022-32192	couchbase-cli gibt das Secrets Management Master-Passwort als Kommandozeilenargument aus. Der couchbase-cli erzeugt einen sehr kurzlebigen erlang-Prozess, der das Master-Passwort als Prozessargument hat. Das bedeutet, dass jeder, der die Prozessliste zu diesem Zeitpunkt erhält, das Master-Passwort hat. Dies betrifft nur Couchbase Server Cluster, die das Secrets Management Feature nutzen.	Mittel (5.5)	Couchbase Server	Server 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x, 5.x	Server 7.0.4, 6.6.6	Juni 2022
CVE-2022-32562	Operationen können bei Sammlungen mit veralteter RBAC-Berechtigung erfolgreich sein. Wenn eine RBAC-Rolle eine Berechtigung auf Sammlungsebene enthält (z. B. query_select[src:_default:Collection1]) und der Name der Sammlung gelöscht und im Bucket neu erstellt wird, ist die Berechtigung auf Sammlungsebene weiterhin gültig. Dadurch kann der Benutzer mit der Rolle auf die Sammlung zugreifen, obwohl seine Berechtigung beim Löschen der Sammlung hätte entfernt werden müssen.	Hoch (8.8)	Couchbase Server	Server 7.0.3, 7.0.2, 7.0.1, 7.0.0	Server 7.0.4	Juni 2022
CVE-2022-32560	XDCR - fehlende Rollenprüfung beim Ändern interner Einstellungen. In den betroffenen Versionen von Couchbase Server können die internen XDCR Einstellungen ohne Authentifizierung geändert werden.	Mittel (4.0)	Couchbase Server	Server 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.x, 5.x, 4.x	Server 7.0.4	Juni 2022
CVE-2022-32564	couchbase-cli: server-eshell gibt das Cluster Manager Cookie preis. In den betroffenen Versionen von Couchbase Server wird das Erlang "Cookie" über ein Kommandozeilenargument an 'erl' übergeben, wenn der Befehl 'server-eshell' verwendet wird; dadurch wurde das "Cookie" für alle sichtbar, die die Prozessargumente von 'couchbase-cli' lesen konnten. Das Cookie sollte geheim bleiben, da es zur Durchführung von administrativen Aufgaben im Cluster verwendet werden kann.	Hoch (7.8)	Couchbase Server	Server 7.0.3, 7.0.2, 7.1.0, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x, 5.x, 4.x, 3.x, 2.x, 1.x	Server 7.0.4, 6.6.6	Juni 2022
CVE-2021-3737	Python wurde auf 3.9.12 aktualisiert, um ein Denial-of-Service-Problem zu beheben. Eine Schwachstelle wurde in Python gefunden. Eine unsachgemäß behandelte HTTP-Antwort im HTTP-Client-Code von Python kann es einem entfernten Angreifer, der den HTTP-Server kontrolliert, ermöglichen, das Client-Skript in eine Endlosschleife zu bringen, die CPU-Zeit verbraucht. Dieses Problem betrifft nur Cluster, die die Entwickler-Vorschaufunktion, Analytics UDFs, verwenden.	Hoch (7.5)	Couchbase Server	Server 7.0.3, 7.0.2, 7.0.1, 7.0.0	Server 7.0.4	Juni 2022
CVE-2022-32558	Beim Laden von Mustereimern können bei einem Ausfall interne Benutzerkennwörter verloren gehen. Ein Fehler beim Laden eines Sample-Buckets (beer-sample, gamesim-sample, travel-sample) kann dazu führen, dass das Passwort für den internen @ns_server-Admin-Benutzer in den Logs (debug.log, error.log, info.log, reports.log) auftaucht. Das @ns_server-Konto kann zur Durchführung administrativer Aktionen verwendet werden.	Mittel (6.4)	Couchbase Server	Server 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0	Server 7.0.4, 6.6.6	Juni 2022
CVE-2022-32193	Der private Schlüssel kann bei einem Absturz der Cluster Manager Komponente des Couchbase Servers protokolliert werden. Beim Hinzufügen von Clusterknoten kann ein Absturz des Cluster Managers (ns_server) dazu führen, dass der private Schlüssel in die Protokolldateien sickert. Jemand, der Zugriff auf die Protokolldateien hat, kann möglicherweise sichere Netzwerkverbindungen zum Cluster entschlüsseln. Wenn TLS verwendet wird, können die Anmeldedaten von Benutzern und Anwendungen, die sich beim Cluster anmelden, in Erfahrung gebracht werden.	Mittel (6.3)	Couchbase Server	Server 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.5, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0	Server 7.0.4, 6.6.6	Juni 2022
CVE-2022-32561	Frühere Abhilfemaßnahmen für CVE-2018-15728 erwiesen sich als unzureichend, als sich herausstellte, dass auf Diagnose-Endpunkte weiterhin über das Netzwerk zugegriffen werden konnte. Diagnoseendpunkte wie diag/eval sind eingeschränkt und können nur über das Loopback-Netzwerk ausgeführt werden. Die Prüfungen, die zur Behebung von CVE-2018-15728 eingeführt wurden, prüfen jedoch nicht korrekt, ob ein "X-Forwarded-For"-Header eine Loopback-Adresse enthält. Dieser Header kann manipuliert werden, um die Loopback-Beschränkung zu umgehen. Die Schwachstelle ist gemäß RFC6890 auf Anfragen aus privaten Netzwerken und gemeinsamen Adressräumen beschränkt. Um erfolgreich Anfragen an diese Endpunkte stellen zu können, benötigt ein Benutzer volle administrative Rechte, unabhängig vom verwendeten "X-Forwarded-For"-Header. Ein Workaround für dieses Problem ist die Firewall für Anfragen an die Couchbase Server Knoten, die "X-Forwarded-For" Header enthalten, in Umgebungen, in denen sie nicht benötigt werden. Anerkennungen: Mucahit Karadag / PRODAFT	Hoch (8.8)	Couchbase Server	Server 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.6.4, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x, 5.x	Server 6.6.5, 7.0.4	Juni 2022
CVE-2022-32557	Der Indexdienst erzwingt keine Authentifizierung für TCP/TLS-Server. Der Index Service betreibt mehrere Netzwerkprozesse, Queryport, Dataport und Adminport. Diese werden verwendet, um mit anderen Couchbase Services zu kommunizieren. Diese Prozesse nehmen an der Node-to-Node Kommunikation teil, kommunizieren aber nicht direkt mit SDK Anwendungen. In den betroffenen Versionen von Couchbase Server erzwingen diese Netzwerkprozesse keine Authentifizierung, so dass sie Anfragen von nicht authentifizierten Benutzern verarbeiten. Der Queryport-Server kann einem nicht authentifizierten Benutzer die Ergebnisse der Indexsuche mitteilen. Der Dataport-Server kann einem nicht authentifizierten Benutzer erlauben, indizierte Daten zu ändern. Der Adminport-Server kann nicht authentifizierten Benutzern die Durchführung von DDL-Operationen (z. B. Index erstellen und löschen) gestatten. Möglicher Workaround: Da diese Ports nur fÃ?r die interne Kommunikation von Couchbase Server verwendet werden, kann jede Verbindung/Kommunikation mit Nicht-Couchbase Server Knoten und Prozessen auf der Netzwerkebene deaktiviert werden.	Hoch (8.2)	Couchbase Server	Server 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.x, 5.x, 4.x	Server 7.0.4	Juni 2022
CVE-2022-32559	Zufällige http-Anfragen führen zu durchgesickerten Metriken. Nicht authentifizierte Benutzer können einen REST-API-Aufruf an den Clustermanager senden. Jede HTTP-Anforderung, die der Clustermanager noch nicht gesehen hat, führt zur Erstellung einer neuen Metrik. Jede neue Metrik benötigt etwas Arbeitsspeicher und Festplattenplatz, was zu einem Speicher- und Festplattenplatzleck führen kann. Wenn genügend Ressourcen verbraucht werden, kann dies zum Ausfall eines Couchbase Server Knotens führen.	Hoch (7.5)	Couchbase Server	Server 7.0.3, 7.0.2, 7.0.1, 7.0.0	Server 7.0.4	Juni 2022
CVE-2022-32563	Admin Credentials werden nicht verifiziert, wenn eine X.509 Client-Zertifizierung vom Sync Gateway zum Couchbase Server verwendet wird. Wenn Sync Gateway so konfiguriert ist, dass es sich mit Couchbase Server über X.509 Client-Zertifikate authentifiziert, werden die Admin-Zugangsdaten, die dem Admin REST API zur Verfügung gestellt werden, ignoriert, was zu einer Privilegienerweiterung für nicht-authentifizierte Benutzer führt. Das Public REST API ist von diesem Problem nicht betroffen. Umgehung: Ersetzen Sie die auf X.509-Zertifikaten basierende Authentifizierung durch die Authentifizierung mit Benutzername und Kennwort innerhalb der Bootstrap-Konfiguration.	Kritisch (9.8)	Couchbase Sync Gateway	Couchbase Sync Gateway: 3.0.0, 3.0.1	3.0.2	Juni 2022
CVE-2021-33504	Die Hinzufügung nicht vertrauenswürdiger Knoten kann manipuliert werden, um ein Clustergeheimnis auszuspähen. Administratoren, die einen nicht vertrauenswürdigen Knoten zu einem Cluster hinzufügen, könnten versehentlich das Risiko eingehen, den Cluster-Cookie zu übertragen, der geheim bleiben sollte. Dies kann durch den Einsatz von TLS-Verschlüsselung mit von der Zertifizierungsstelle signierten Zertifikaten behoben werden. Wenn TLS verwendet wird, muss ein vertrauenswürdiges Zertifikat auf dem eingehenden Knoten von Couchbase Server Version 7.1.0 vorhanden sein. Anerkennungen: Ofir Hamam, Sicherheitsforscher am Advanced Security Center von EY Israel	Hoch (7.6)	Couchbase Server	Server 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.x, 5.x, 4.x, 3.x, 2.x	Server 7.1.0	Mai 2022
CVE-2022-26311	Geheimnisse, die in den von Kubernetes-Umgebungen gesammelten Protokollen nicht geschwärzt werden. Mit Couchbase Operator 2.2.0 wurde eine Optimierung eingeführt, die das Sammeln von Logs vereinfacht. Wenn Logs gesammelt werden, wird das Support-Tool - "cbopinfo" - verwendet, um Kubernetes-Ressourcen zu sammeln, die notwendig sind, um einen Einblick in den beabsichtigten Zustand der Ressourcen und den aktuellen Status zu erhalten. Vor den betroffenen Versionen wurden geheime Daten unkenntlich gemacht, doch diese Funktion wurde in der neuen Erfassungsmethode nicht beibehalten. Infolgedessen enthielten die Protokolle fälschlicherweise alle Passwörter, Token und privaten Schlüssel innerhalb des Bereichs der Protokollsammlung. Standardmäßig ist dieser Bereich auf den Kubernetes Namespace beschränkt, in dem sich der untersuchte Couchbase Server-Cluster befindet. Die Ausnahme ist, wenn das --system Flag spezifiziert wurde. In diesem Fall werden alle Secrets der Plattform offengelegt. Logs werden verwendet, um Kundenprobleme zu identifizieren und zu beheben. Daher sind nur Kunden betroffen, die Logs mit den angegebenen Tool-Versionen geliefert haben. Couchbase wird sicherstellen, dass alle betroffenen Logs, die zur Verfügung gestellt wurden, redigiert werden.	Hoch (7.2)	Couchbase Cloud Native Operator	2.2.0, 2.2.1, 2.2.2	2.2.3	März 2022
CVE-2021-44228	Aktualisierung von Apache Log4J auf 2.15.0 Eine kritische Schwachstelle im Apache Log4J Dienstprogramm, das vom Couchbase Analytics Service verwendet wird, muss aktualisiert werden, um eine mögliche Remote Code Execution (RCE) und die Extraktion sensibler Daten zu verhindern.	Kritisch (10)	Couchbase Server	Server 7.0.2, 7.0.1, 7.0.0, 6.6.3, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x	Server 7.0.3, 6.6.4	Dezember 2021
CVE-2021-43963	Sync Gateway speichert unsichere Couchbase Server Bucket Credentials Die Bucket Credentials, die von Sync Gateway zum Lesen und Schreiben von Daten in Couchbase Server verwendet werden, wurden unsicher in den Metadaten der Sync-Dokumente gespeichert, die in den Bucket geschrieben wurden. Benutzer mit Lesezugriff konnten diese Anmeldedaten verwenden, um Schreibzugriff zu erhalten. Dieses Problem betrifft keine Cluster, in denen Sync Gateway mit x.509 Client Zertifikaten authentifiziert ist. Dieses Problem betrifft auch keine Cluster, bei denen der gemeinsame Bucket-Zugriff auf Sync Gateway nicht aktiviert ist.	Mittel (6.5)	Couchbase Sync Gateway	Sync-Gateway 2.8.2, 2.8.1, 2.8.0, 2.7.x	Sync Gateway 2.8.3	Oktober 2021
CVE-2021-37842	Protokolle, die XDCR remoteCluster-Anmeldeinformationen nicht redigieren Remote Cluster XDCR Credentials können in Debug Logs durchgesickert sein. Config Key Tombstone Purging wurde in Couchbase Server 7.0.0 hinzugefügt. Dieses Problem tritt auf, wenn ein Config Key, der geloggt wird, einen Tombstone Purger Zeitstempel hat.	Hoch (7.6)	Couchbase Server	Server 7.0.1, 7.0.0	Server 7.0.2	Oktober 2021
CVE-2021-42763	Im Fehlerprotokoll eines Absturzes aufgedeckte Anmeldeinformationen aus einer Rückverfolgung Als Teil einer cbcollect_info Logsammlung sammelt der Couchbase Server die Prozessinformationen aller Prozesse, die in der Erlang VM laufen. Das Problem tritt auf, wenn der Clustermanager einen HTTP Request von der pluggable UI (Query Workbench, etc.) an den spezifischen Service weiterleitet. In der Rückverfolgung enthält der Basic Auth Header in der HTTP-Anfrage die "@"-Benutzeranmeldeinformationen des Knotens, der die UI-Anfrage verarbeitet. Damit das Problem auftritt, muss die Prozessinformation genau zu dem Zeitpunkt ausgelöst werden, zu dem eine steckbare UI-Anfrage vom Clustermanager bearbeitet wird.	Hoch (8.8)	Couchbase Server	Sever 7.0.1, 7.0.0, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x, 5.x, 4.5.x	Server 6.6.3, 7.0.2	Oktober 2021
CVE-2021-33503	Aktualisierung der Python urllib3 auf 1.26.5 oder höher Ein Problem wurde in urllib3 vor 1.26.5 entdeckt, das von Couchbase Server Kommandozeilentools verwendet wird. Wenn diese Tools mit einer URL versorgt werden, die viele @-Zeichen in der authority-Komponente enthält, zeigt der reguläre Ausdruck authority ein katastrophales Backtracking, was zu einem Denial of Service des Kommandozeilen-Tools führt, wenn eine URL als Parameter übergeben oder über einen HTTP-Redirect weitergeleitet wird.	Hoch (7.5)	Couchbase Server	Server 7.0.1, 7.0.0, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x	Server 6.6.3, 7.0.2	Oktober 2021
CVE-2020-36242	Aktualisierung des Python-Kryptographie-Pakets auf 3.3.2 Im Kryptographie-Paket vor 3.3.2 für Python, wie es von den Couchbase Server Kommandozeilen-Tools verwendet wird, konnten bestimmte Sequenzen von Update-Aufrufen zur symmetrischen Verschlüsselung von Multi-GB-Werten zu einem Integer- und Pufferüberlauf in diesem Tool führen.	Kritisch (9.1)	Couchbase Server	Sever 7.0.1, 7.0.0, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x, 5.x, 4.5.x	Server 6.6.3, 7.0.2	Oktober 2021
CVE-2021-35944	Ein speziell präpariertes Netzwerkpaket, das von einem Angreifer gesendet wird, kann memcached zum Absturz bringen Dies kann zur NichtverfÃ?gbarkeit des Data Service fÃ?hren. Es wird empfohlen, eine Firewall zu verwenden, um nur den Netzwerkverkehr von Ihren Anwendungen mit dem Couchbase Server Cluster zuzulassen.	Hoch (8.2)	Couchbase Server	Server 7.0.0, 6.6.2, 6.6.1, 6.6.0, 6.5.x	Server 6.6.3, 7.0.1	September 2021
CVE-2021-35945	Ein speziell präpariertes Netzwerkpaket, das von einem Angreifer gesendet wird, kann memcached zum Absturz bringen Dies kann zur NichtverfÃ?gbarkeit des Data Service fÃ?hren. Es wird empfohlen, eine Firewall zu verwenden, um nur den Netzwerkverkehr von Ihren Anwendungen mit dem Couchbase Server Cluster zuzulassen.	Hoch (8.2)	Couchbase Server	Server 7.0.0, 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x, 5.x, 4.6.x, 4.5.x	Server 6.6.3, 7.0.1	September 2021
CVE-2021-35943	Extern verwaltete Benutzer werden gemäß RFC4513 nicht daran gehindert, ein leeres Passwort zu verwenden. Wenn ein LDAP oder Active Directory Server, der für die externe Authentifizierung verwendet wird, so konfiguriert ist, dass er unsichere unauthentifizierte Bindungen zulässt, erlaubt der Couchbase Server Cluster Manager die Authentifizierung eines externen Benutzers mit einem leeren Passwort. LDAP-Server können so konfiguriert werden, dass unauthentifizierte Bind-Anfragen mit einem resultCode von "unwillingToPerform" fehlschlagen, um dies zu verhindern.	Kritisch (9.8)	Couchbase Server	Server 6.6.2, 6.6.1, 6.6.0, 6.5.x	Server 6.6.3	August 2021
CVE-2021-23840 CVE-2021-3450 CVE-2021-3449	Aktualisieren Sie OpenSSL auf Version 1.1.1k Mehrere Sicherheitsprobleme in OpenSSL wurden behoben, von denen eines zum Absturz des TLS-Servers führen konnte, wenn eine bösartig gestaltete Renegotiation ClientHello-Nachricht von einem Client gesendet wurde.	Mittel / Hoch (5.9, 7.4, 7.5)	Couchbase Server	Server 6.6.2, 6.6.1, 6.6.0, 6.5.x	Server 6.6.3	August 2021
CVE-2019-10768	Aktualisierung von AngularJS auf 1.8.0 Problem in Angular, wie es von der Couchbase UI verwendet wird, das einen Denial of Service durch Modifikation der merge() Funktion verursachen kann.	Hoch (7.5)	Couchbase Server	Server 6.6.2, 6.6.1, 6.6.0, 6.5.x, 6.0.x, 5.x, 4.6.x, 4.5.x	Server 6.6.3	August 2021
CVE-2021-31158	N1QL Common Table Expressions (CTEs) behandelten die Zugriffskontrolle falsch. Common Table Expression N1QL-Abfragen beachteten die RBAC-Sicherheitskontrollen nicht korrekt und gaben Benutzern, die nicht über die erforderliche Berechtigung verfügten, Lesezugriff.	Mittel (6.5)	Couchbase Server	Server 6.6.1, 6.6.0, 6.5.2, 6.5.1, 6.5.0	Server 6.6.2	Februar 2020
CVE-2019-14863	FTS UI zum Upgrade auf Angular 1.6.9 Die Benutzeroberfläche von Full Text Seach verwendet AngularJS 1.4.7, für das einige bekannte, schwerwiegende Sicherheitslücken bestehen. Diese AngularJS-Bibliotheken wurden auf eine neuere Version von Angular aktualisiert, in der diese Sicherheitslücken behoben wurden.	Hoch (7.4)	Couchbase Server	6.0.2, 5.5.5	6.5.0	Januar 2020
CVE-2020-9040	Bis core-io 1.7.11 (und folglich Java SDK 2.7.11) ist die Hostnamenüberprüfung bei TLS/SSL-Verbindungen nicht aktiviert und kann in bestimmten Umgebungen ein Sicherheitsrisiko darstellen. Java 6 (JDK 1.6 - die ältere SDK-Basisversion) unterstützte die Hostnamenüberprüfung nicht von Haus aus. Sobald das SDK auf Java 7 (Java 1.7) als Basisversion umgestellt wurde, war es möglich, die Unterstützung hinzuzufügen. Dies geschah in jvm-core 1.7.11 (was zu java-client 2.7.11 übersetzt wird). In früheren Versionen ist es nicht möglich, sie manuell als Workaround hinzuzufügen, da die Möglichkeiten, sie entsprechend anzupassen, nicht gegeben sind. Um Anwendungen, die auf das alte Verhalten angewiesen sind, nicht zu zerstören, ist die Hostnamenüberprüfung immer noch standardmäßig deaktiviert, kann aber in der SDK Konfiguration (CouchbaseEnvironment Klasse) aktiviert werden.	Hoch (7.5)	Couchbase Java SDK Couchbase Spark-Anschluss Couchbase Kafka Konnektor (Konnektoren je nach Java SDK oder Core-IO)	1.7.10, 1.6.0, 1.5.0, 1.4.0, 1.3.0, 1.2.0, 1.1.0, 1.0.0	2.7.11	April 2019
CVE-2020-9039	Die REST-Endpunkte von Projektor und Indexer erforderten keine Authentifizierung Der REST-Endpunkt /settings, der vom Projektorprozess bereitgestellt wird, ist ein Endpunkt, den Administratoren für verschiedene Aufgaben wie die Aktualisierung der Konfiguration und die Erfassung von Leistungsprofilen verwenden können. Der Endpunkt war nicht authentifiziert und wurde aktualisiert, damit nur authentifizierte Benutzer auf diese administrativen APIs zugreifen können. Anerkennungen: Apple-Sicherheitsteam	Hoch (7.6)	Couchbase Server	5.5.1, 5.5.0, 5.0.1, 5.0.0, 4.6.x, 4.5.x, 4.1.x, 4.0.x	6.5.0 6.0.0 5.5.2 5.1.2	September 2018
CVE-2020-9042	Couchbase Server gibt eine WWW-Authenticate Antwort auf nicht-authentifizierte Anfragen zurück Die Server-REST-API antwortet mit einem {{WWW-Authenticate}}-Header auf nicht authentifizierte Anfragen, der es dem Benutzer ermöglicht, sich über einen Benutzer-/Kennwortdialog in einem Webbrowser zu authentifizieren. Das Problem ist, dass diese Anmeldeinformationen vom Browser zwischengespeichert werden, was es einem Hacker ermöglicht, CSRF zu verwenden, um einen Cluster anzugreifen, wenn ein Administrator seinen Browser verwendet hat, um die Ergebnisse einer REST-API-Anfrage zu überprüfen. Dieses Verhalten kann mit couchbase-cli deaktiviert werden (couchbase-cli setting-security --set --disable-www-authenticate 1 -c localhost:8091 -u -p ). Dies ist nicht standardmäßig deaktiviert, da es bestehende Tools oder Skripte beschädigen könnte. Anerkennungen: Apple-Sicherheitsteam	Mittel (6.3)	Couchbase Server	6.0.0	6.5.1	April 2020
CVE-2019-11464	Port 8092 vermisst X-XSS-Schutz-Header Einige Unternehmen verlangen, dass REST-API-Endpunkte sicherheitsrelevante Header in REST-Antworten enthalten. Header wie X-Frame-Options und X-Content-Type-Options sind im Allgemeinen ratsam, aber einige Informationssicherheitsexperten verlangen zusätzlich X-Permitted-Cross-Domain-Policies und X-XSS-Protection, die allgemeiner für HTML-Endpunkte gelten, die ebenfalls enthalten sein müssen. Diese Header sind nun in den Antworten der Couchbase Server Views REST API (Port 8092) enthalten.	Mittel (5.4)	Couchbase Server	5.5.0 5.1.2	6.0.2	März 2019
CVE-2019-9039	Verhinderung der N1QL-Injektion in Sync Gateway über _all_docs startkey, endkey Ein Angreifer mit Zugriff auf die öffentliche REST-API des Sync Gateways war in der Lage, zusätzliche N1QL-Anweisungen auszuführen und sensible Daten zu extrahieren oder beliebige N1QL-Funktionen über die Parameter "startkey" und "endkey" am Endpunkt "_all_docs" aufzurufen. Durch das Ausführen von verschachtelten Abfragen mit CPU-intensiven Operationen konnten sie möglicherweise eine erhöhte Ressourcennutzung und Denial-of-Service-Bedingungen verursachen. Der _all_docs Endpunkt wird für die Couchbase Mobile Replikation nicht benötigt und der externe Zugriff auf diesen REST Endpunkt wurde blockiert, um dieses Problem zu entschärfen. Anerkennungen: Denis Werner/HiSolutions AG	Hoch (7.6)	Couchbase Sync Gateway	2.1.2	2.5.0 2.1.3	Februar 2019
CVE-2019-11466	Der Eventing-Debug-Endpunkt muss eine Authentifizierung erzwingen. Der Ereignisdienst stellt ein Systemdiagnoseprofil über einen HTTP-Endpunkt zur Verfügung, für den keine Anmeldeinformationen an einem Port erforderlich sind, der nur für den internen Datenverkehr vorgesehen ist. Dies wurde behoben und erfordert nun gültige Anmeldedaten für den Zugriff.	Hoch (7.1)	Couchbase Server	6.0.0 5.5.0	6.0.1	Dezember 2018
CVE-2019-11465	Memcached "connections" stat block Befehl gibt nicht-reduzierten Benutzernamen aus Die Systeminformationen, die Couchbase im Rahmen eines Fehlerberichts übermittelt wurden, enthielten die Benutzernamen aller derzeit im System angemeldeten Benutzer, auch wenn das Protokoll aus Datenschutzgründen geschwärzt war. Dieses Problem wurde behoben, so dass die Benutzernamen in den Protokollen richtig gekennzeichnet und beim Schwärzen der Protokolle gelöscht werden.	Mittel (6.5)	Couchbase Server	6.0.0, 5.5.3, 5.5.2, 5.5.1, 5.5.0	6.0.1 5.5.4	Januar 2019
CVE-2018-15728	Der Endpunkt /diag/eval ist nicht auf localhost beschränkt. Couchbase Server stellt den '/diag/eval' Endpunkt zur Verfügung, der standardmäßig auf TCP/8091 und/oder TCP/18091 verfügbar ist. Authentifiziert Benutzer, die Voller Admin Die zugewiesene Rolle konnte beliebigen Erlang-Code an den 'diag/eval'-Endpunkt der API senden, der dann im zugrundeliegenden Betriebssystem mit den Rechten des Benutzers ausgeführt wurde, der Couchbase gestartet hat. Anerkennungen: Apple-Sicherheitsteam	Hoch (8.8)	Couchbase Server	5.5.1, 5.5.0, 5.1.1, 5.0.1, 5.0.0, 4.6.5, 4.5.1, 4.1.2, 4.0.0	6.0.0 5.5.2	Oktober 2018
CVE-2019-11495	Der Erlang-Cookie verwendet einen schwachen Zufallswert. Der Cookie, der für die Kommunikation zwischen den Knoten verwendet wird, wurde nicht sicher generiert. Couchbase Server verwendet erlang:now(), um den PRNG zu seeden, was zu einem kleinen Suchraum für potentielle Zufallsseeds führt, die dann verwendet werden könnten, um den Cookie mit Brute-Force zu erzwingen und Code gegen ein entferntes System auszuführen. Anerkennungen: Apple-Sicherheitsteam	Hoch (7.9)	Couchbase Server	5.1.1	6.0.0	September 2018
CVE-2019-11467	JSON-Dokument mit >3k '\t'-Zeichen stürzt Indexer ab. Bei der sekundären Indizierung werden die zu indizierenden Einträge mit collatejson kodiert. Wenn Indexeinträge bestimmte Zeichen wie z. B. \t, enthielten, kam es zu einem Pufferüberlauf, da die kodierte Zeichenfolge viel größer war als vorgesehen, was zu einem Absturz und Neustart des Indexierungsdienstes führte. Dies wurde jetzt behoben, um sicherzustellen, dass der Puffer immer so wächst, wie es für jede Eingabe erforderlich ist. Anerkennungen: D-Trust GmbH	Mittel (5.8)	Couchbase Server	5.5.0, 4.6.3	5.1.2, 5.5.2	August 2018
CVE-2019-11497	XDCR validiert ein Remote-Cluster-Zertifikat nicht. Wenn ein ungültiges Remote-Cluster-Zertifikat als Teil der Referenzerstellung eingegeben wurde, analysierte und prüfte XDCR die Zertifikatsignatur nicht. Es akzeptierte dann das ungültige Zertifikat und versuchte, es für den Aufbau zukünftiger Verbindungen zum Remote-Cluster zu verwenden. Dieses Problem wurde behoben. XDCR prüft nun die Gültigkeit des Zertifikats gründlich und verhindert, dass eine Remote-Cluster-Referenz mit einem ungültigen Zertifikat erstellt wird.	Hoch (7.5)	Couchbase Server	5.0.0	5.5.0	Juni 2018
CVE-2019-11496	Das Bearbeiten der Bucket-Einstellungen in Couchbase Server erlaubt die Authentifizierung ohne Anmeldedaten. In Versionen von Couchbase Server vor 5.0 war der Bucket mit dem Namen "default" ein spezieller Bucket, der Lese- und Schreibzugriff ohne Authentifizierung erlaubte. Mit der Version 5.0 wurde das Verhalten aller Buckets, einschließlich "default", so geändert, dass nur noch authentifizierte Benutzer mit ausreichender Berechtigung darauf zugreifen können. Allerdings konnten Benutzer unauthentifizierten und unautorisierten Zugriff auf den "Standard"-Bucket erhalten, wenn die Eigenschaften dieses Buckets bearbeitet wurden. Dies wurde nun behoben.	Hoch (8.7)	Couchbase Server	5.0.0	5.1.0 5.5.0	Dezember 2017

CVE-2025-52490

Sicherheitslücke bei der Offenlegung von Anmeldeinformationen im Sync Gateway-Protokollerfassungsprozess
In Sync Gateway wurde eine Sicherheitslücke festgestellt, die in bestimmten Situationen zur unbeabsichtigten Offenlegung von Anmeldeinformationen im Zusammenhang mit der Protokollerfassung für den Support führte. Dies betraf die Anmeldeinformationen, die zum Starten der Protokollerfassung verwendet wurden. Wir empfehlen, auf Sync Gateway 3.2.6 zu aktualisieren, das dieses Problem behebt, und alle Anmeldeinformationen zu rotieren, die während des betroffenen Zeitraums zum Starten der Protokollerfassung verwendet wurden.

Mittel
(6.5)

Couchbase Sync Gateway

3.2.5,
3.2.4,
3.2.3,
3.2.2,
3.2.1,
3.2.0,
3.1.x,
3.0.x

3.2.6

Juli 2025

CVE-2025-49015

.NET SDK v3.7.1 und früher konnte die Überprüfung des Hostnamens des Zertifikats überspringen
In .NET SDK v3.7.1 und früher wurde die Überprüfung des Hostnamens für TLS-Zertifikate nicht in allen Fällen ordnungsgemäß durchgesetzt.

Mittel
(4.9)

Couchbase .NET SDK

3.7.0,
3.6.x,
3.5.x,
3.4.x,
3.3.x,
3.2.x,
3.1.x,
3.0.x

3.7.1

Juni 2025

CVE-2024-30171
CVE-2024-29857
CVE-2024-30172

Aktualisieren Sie Bouncy Castle auf 1.79
Ein Problem wurde in Bouncy Castle Java Cryptography APIs vor 1.78 entdeckt. Eine Ed25519-Verifizierungscode-Endlosschleife kann über eine manipulierte Signatur und einen öffentlichen Schlüssel auftreten.

Mittel
(6.9)

Couchbase Server

Server
7.6.5,
7.6.4,
7.6.3,
7.6.2,
7.6.1,
7.6.0,
7.2.6,
7.2.5,
7.2.4,
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x

Server
7.6.6,
7.2.7

Mai 2025

CVE-2025-46619

Lokale Dateieinschluss-Schwachstelle in Couchbase Server für Windows entdeckt

In Couchbase Server für Windows wurde eine Sicherheitslücke entdeckt, die unautorisierten Zugriff auf sensible Dateien auf dem System ermöglichen könnte. Abhängig vom Grad der Berechtigung kann diese Schwachstelle Zugriff auf Dateien wie / etc / passwd oder / etc / shadow gewähren.

Hoch
(8.7)

Couchbase Server

Server
7.6.3,
7.6.2,
7.6.1,
7.6.0,
7.2.6,
7.2.5,
7.2.4,
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x,
4.x,
3.x,
2.x

Server
7.6.4,
7.2.7

April 2025

CVE-2024-21235

JDK auf 17.0.13 aktualisieren

Diese Sicherheitslücke ist schwer auszunutzen, ermöglicht es aber einem nicht authentifizierten Angreifer mit Netzwerkzugang über mehrere Protokolle, die betroffenen Produkte zu kompromittieren. Eine erfolgreiche Ausnutzung könnte zu nicht autorisierten Aktualisierungen, Einfügungen oder Löschungen von zugänglichen Daten sowie zu einem nicht autorisierten Lesezugriff auf bestimmte Datenuntergruppen führen.

Mittel
(4.8)

Couchbase Server

Server
7.6.3,
7.6.2,
7.6.1,
7.6.0,
7.2.6,
7.2.5,
7.2.4,
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x

Server
7.6.4,
7.2.7

April 2025

CVE-2024-56178

Unerlaubte Erstellung eines Benutzers mit erweiterten Rollen

Ein Benutzer mit der Rolle "security_admin_local" könnte einen neuen Benutzer in einer Gruppe mit der Rolle "admin" erstellen und so möglicherweise erweiterte Rechte über die vorgesehenen Berechtigungen hinaus gewähren.

Mittel
(6.9)

Couchbase Server

Server
7.6.3,
7.6.2,
7.6.1,
7.6.0

Server
7.6.4

Dezember 2024

CVE-2024-21094
CVE-2024-21011
CVE-2024-21068
CVE-2024-21012

JDK auf 17.0.11 aktualisieren

Die Schwachstelle ermöglicht es nicht authentifizierten Angreifern mit Netzwerkzugang über mehrere Protokolle, Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition zu kompromittieren. Erfolgreiche Angriffe auf diese Schwachstelle können zu unautorisiertem Aktualisierungs-, Einfüge- oder Löschzugriff auf einige der Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition zugänglichen Daten führen.

Niedrig
(3.7)

Couchbase Server

Server
7.6.1,
7.6.0,
7.2.5
7.2.4,
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x

Server
7.6.2,
7.2.6

August 2024

CVE-2016-2183
CVE-2016-6329

Cluster-Management-Ports anfällig für SWEET32-Sicherheitslücke.

Die DES- und Triple-DES-Chiffren, die in den TLS-, SSH- und IPSec-Protokollen sowie in anderen Protokollen und Produkten verwendet werden, haben eine Geburtstagsgrenze von etwa vier Milliarden Blöcken, was es Angreifern erleichtert, über einen Geburtstagsangriff auf eine verschlüsselte Sitzung von langer Dauer Klartextdaten zu erhalten, wie eine HTTPS-Sitzung mit Triple-DES im CBC-Modus, auch bekannt als "Sweet32"-Angriff, zeigt.

Hoch
(8.7)

Couchbase Server

Server
7.2.5,
7.2.4,
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x
4.x
3.x,
2.x

Server
7.6.0,
7.2.6

August 2024

CVE-2024-25673

Schwachstelle in der Header-Manipulation.

Der Host-Header einer eingehenden HTTP-Anfrage wurde blind in den Location-Header kopiert.

Mittel
(4.2)

Couchbase Server

Server
7.6.1,
7.6.0,
7.2.5,
7.2.4,
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x,
4.x,
3.x,
2.x

Server
7.6.2,
7.2.6

August 2024

CVE-2024-37034

Die Anmeldeinformationen werden mit KV unter Verwendung von SCRAM-SHA ausgehandelt, wenn die Remote Link-Verschlüsselung für HALF konfiguriert ist.

SDK verhandelt standardmäßig mit SCRAM-SHA, was es einem MITM ermöglicht, PLAIN-Anmeldeinformationen auszuhandeln.

Mittel
(5.9)

Couchbase Server

Server
7.6.0,
7.2.4,
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x

Server
7.6.1,
7.2.5

Juli 2024

CVE-2024-0519

Aktualisieren Sie v8 auf 12.1.285.26.

Ein Out-of-Bounds-Speicherzugriff in V8 in Google Chrome vor 120.0.6099.224 ermöglicht es einem entfernten Angreifer, eine Heap Corruption über eine gestaltete HTML-Seite auszunutzen.

Hoch
(8.8)

Couchbase Server

Server
7.2.4,
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.x,
5.x,
4.x,
3.x,
2.x

Server
7.6.2,
7.2.5

Juli 2024

CVE-2023-50782

Aktualisieren Sie pyca-cryptography auf 42.0.5.

Im Paket python-cryptography wurde ein Fehler gefunden. Dieses Problem kann es einem entfernten Angreifer ermöglichen, erfasste Nachrichten in TLS-Servern zu entschlüsseln, die RSA-Schlüsselaustausch verwenden, was zur Offenlegung vertraulicher oder sensibler Daten führen kann.

Hoch
(7.5)

Couchbase Server

Server
7.6.1,
7.6.0

Server
7.6.2,
7.2.5

Juli 2024

CVE-2023-49338

Der Endpunkt Query Service stats war ohne Authentifizierung zugänglich.

Der Query-Statistik-Endpunkt implementierte keine korrekte Authentifizierung, wodurch es möglich war, die Statistikinformationen anzuzeigen.

Mittel
(5.3)

Couchbase Server

Server
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x,
4.x

Server
7.2.4

Januar 2024

CVE-2023-45873

Benutzer mit der Rolle Datenleser konnte den Datendienst OOM beenden.

Ein Benutzer mit der Berechtigung "Datenleser" konnte den Datendienst abschalten, indem er GetKeys sendete, die eine große Anzahl von Dokumenten anforderten, was einen "Out-of-Memory"-Fehler (OOM) auslöste.

Mittel
(6.5)

Couchbase Server

Server
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.6.x,
6.5.x

Server
7.2.4

Januar 2024

CVE-2023-45874

Datenleser könnten die Leser-Threads DOS-gesteuert sein.

Ein Benutzer mit der Datenleserrolle könnte einen Datendienst-Leser-Thread für längere Zeit blockieren, indem er eine große Anzahl von Schlüsseln anfordert, und möglicherweise alle Leser-Threads blockieren, indem er denselben Befehl über mehrere Verbindungen ausgibt.

Mittel
(4.3)

Couchbase Server

Server
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.6.x,
6.5.x

Server
7.2.4

Januar 2024

CVE-2023-43769

Nicht authentifizierte RMI-Service-Ports im Analysedienst offengelegt.

Bei den Netzwerk-Ports 9119 und 9121 handelte es sich um nicht authentifizierte RMI-Service-Ports, die vom Analytics-Service gehostet wurden, was zu einer Eskalation der Rechte führen konnte.

Kritisch
(9.1)

Couchbase Server

Server
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x

Server
7.2.4

Januar 2024

CVE-2023-50437

otpCookie wurde einem Benutzer mit der Rolle Full Admin auf den API-Endpunkten serverGroups und engageCluster2 des Cluster Managers angezeigt.

Der otpCookie des Clusters wurde Benutzern mit der Rolle "Full Admin" am API-Endpunkt serverGroups und sowohl Cluster Admin als auch Full Admin am API-Endpunkt engageCluster2 zugespielt. Dies könnte dazu verwendet werden, die Privilegien zu erhöhen.

Hoch
(8.6)

Couchbase Server

Server
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x,
4.x,
3.x,
2.x

Server
7.2.4

Januar 2024

CVE-2023-49931

SQL++ cURL-Aufrufe an / diag / eval waren nicht ausreichend eingeschränkt.

Der Aufruf von cURL über SQL++ (N1QL) unter Verwendung des Abfragedienstes an den Endpunkt localhost / diag / eval wurde nicht vollständig verhindert.

Hoch
(8.6)

Couchbase Server

Server
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x

Server
7.2.4

Januar 2024

CVE-2023-49932

SQL++ N1QL cURL Host-Einschränkungen Implementierungsproblem.

Der SQL++ (N1QL) cURL allowlist-Schutz im Query Service war nicht ausreichend, um den Zugriff auf eingeschränkte Hosts zu verhindern.

Mittel
(5.3)

Couchbase Server

Server
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x

Server
7.2.4

Januar 2024

CVE-2023-49930

Eventing SQL++ cURL-Aufrufe zu diag eval waren nicht ausreichend eingeschränkt.

Der Aufruf von cURL über SQL++ (N1QL) über den Eventing Service an den diag eval Endpunkt des lokalen Hosts wurde nicht vollständig verhindert.

Hoch
(8.6)

Couchbase Server

Server
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.5.x

Server
7.2.4

Januar 2024

CVE-2023-50436

Der interne Full-Admin-Benutzer für die Cluster-Verwaltung hat seine Anmeldedaten in die Protokolldatei übertragen.

Ein Logging-Ereignis führte dazu, dass die internen @ns_server-Admin-Zugangsdaten in verschlüsselter Form in diag.log durchgesickert sind.

Niedrig
(2.1)

Couchbase Server

Server
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.6,
7.1.5

Server
7.2.4

Januar 2024

CVE-2024-23302

TLS-Privatschlüssel in der XDCR-Protokolldatei durchgesickert.

Der für die Cross Datacenter Replication (XDCR) verwendete private Schlüssel wurde im goxdcr.log veröffentlicht.

Niedrig
(2.1)

Couchbase Server

Server
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x,
4.5.x

Server
7.2.4

Januar 2024

CVE-2023-38545

Aktualisieren Sie cURL auf 8.4.0.

Der Fehler in curl führt zum Überlauf eines Heap-basierten Puffers im SOCKS5-Proxy-Handshake.

Kritisch
(9.8)

Couchbase Server

Server
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.6.x,
6.5.x

Server
7.2.4

Januar 2024

CVE-2023-5678

Aktualisieren Sie auf OpenSSL 3.1.4.

Bei Anwendungen, die die Funktionen DH_generate_key() zur Erzeugung eines X9.42 DH-Schlüssels verwenden, und bei Anwendungen, die DH_check_pub_key(), DH_check_pub_key_ex() oder EVP_PKEY_public_check() zur Überprüfung eines X9.42 DH-Schlüssels oder von X9.42 DH-Parametern verwenden, können lange Verzögerungen auftreten. Wenn der Schlüssel oder die Parameter, die geprüft werden, aus einer nicht vertrauenswürdigen Quelle stammen, kann dies zu einem Denial of Service führen.

Mittel
(5.3)

Couchbase Server

Server
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x,
4.x,
3.x,
2.x

Server
7.2.4

Januar 2024

CVE-2023-44487

Aktualisieren Sie gRPC auf v1.58.3.

Das HTTP/2-Protokoll ermöglicht eine Dienstverweigerung, da der Abbruch von Anfragen viele Streams schnell zurücksetzen kann.

Hoch
(7.5)

Couchbase Server

Server
7.2.2,
7.2.1,
7.2.0,
7.1.5,
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.x,
5.x,
4.x

Server
7.2.3,
7.1.6

November 2023

CVE-2023-44487

Aktualisieren Sie Golang auf 1.20.10.

Das HTTP/2-Protokoll ermöglicht eine Dienstverweigerung, da der Abbruch von Anfragen viele Streams schnell zurücksetzen kann.

Hoch
(7.5)

Couchbase Server

Server
7.2.2,
7.2.1,
7.2.0,
7.1.5,
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.x,
5.x,
4.x

Server
7.2.3,
7.1.6

November 2023

CVE-2023-0464

Aktualisieren Sie auf OpenSSL 1.1.1u.

Eine Schwachstelle in OpenSSL im Zusammenhang mit der Überprüfung von X.509-Zertifikatsketten, die Richtlinieneinschränkungen enthalten, die es Angreifern ermöglichen würde, diese Schwachstelle auszunutzen, indem sie eine bösartige Zertifikatskette erstellen, die eine exponentielle Nutzung von Rechenressourcen auslöst, was zu einem Denial-of-Service (DoS)-Angriff auf betroffene Systeme führt.

Hoch
(7.5)

Couchbase Server

Server
7.2.0,
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.x,
5.x,
4.x,
3.x,
2.x

Server
7.2.1,
7.1.5

November 2023

CVE-2022-41723

Aktualisierung von GoLang auf 1.19.9.

Ein in böser Absicht erstellter HTTP/2-Stream könnte einen übermäßigen CPU-Verbrauch im HPACK-Decoder verursachen, der ausreicht, um eine Dienstverweigerung durch eine kleine Anzahl von kleinen Anfragen zu verursachen.

Hoch
(7.5)

Couchbase Server

Server
7.2.0,
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.x,
5.x,
4.x

Server
7.2.1,
7.1.5

November 2023

CVE-2023-3079

CVE-2023-2033

Aktualisieren Sie V8 auf 11.4.185.1.

Eine Typenverwirrung in V8 in Google Chrome vor 114.0.5735.110 ermöglicht es einem entfernten Angreifer, eine Heap Corruption über eine gestaltete HTML-Seite auszunutzen.

Hoch
(8.0)

Couchbase Server

Server
7.2.0,
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.x,
5.x,
4.x,
3.x,
2.x

Server
7.2.1,
7.1.5

November 2023

CVE-2023-21930

CVE-2023-21954

CVE-2023-21967

CVE-2023-21939

CVE-2023-21938

CVE-2023-21937

CVE-2023-21968

Aktualisieren Sie OpenJDK auf 11.0.19.

Aktualisieren Sie OpenJDK auf Version 11.0.19, um zahlreiche CVEs zu beheben.

Hoch
(7.4)

Couchbase Server

Server
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.6.x

Server
7.1.5

November 2023

CVE-2023-36667

Windows-Traversal-Sicherheitslücke.

Die Couchbase Server Windows UI erlaubt es einem Angreifer, das Dateisystem zu durchsuchen und Dateien anzuzeigen, auf die Couchbase Zugriff hat. Diese Schwachstelle erfordert keine Authentifizierung. Sie kann einfach durch Anhängen von Ordnern/Dateien an die URL der Couchbase Server Admin UI ausgenutzt werden.

Hoch
(7.5)

Couchbase Server

Server
7.2.0,
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.x,
5.x,
4.x,
3.x,
2.x

Server
7.2.1,
7.1.5

November 2023

CVE-2023-43768

Nicht authentifizierte Benutzer können dazu führen, dass memcached der Speicher ausgeht.

Ein böswilliger Benutzer kann einen Memcached-Server leicht zum Absturz bringen, indem er sich mit dem Server verbindet und umfangreiche Befehle sendet.

Hoch
(7.5)

Couchbase Server

Server
7.2.0,
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.6.x

Server
7.2.1,
7.1.5

November 2023

CVE-2023-45875

Privatschlüssel-Leck in debug.log beim Hinzufügen von Vor-7.0-Knoten zu 7.2-Clustern.

Der private Schlüssel wird in debug.log übertragen, wenn ein Vor-7.0-Knoten zu einem 7.2-Cluster hinzugefügt wird.

Mittel
(4.4)

Couchbase Server

Server
7.2.0

Server
7.2.1

November 2023

CVE-2022-41881

CVE-2022-41915

Aktualisieren Sie Netty auf 4.1.86.Final oder höher.

In Versionen vor 4.1.86.Final kann ein StackOverflowError ausgelöst werden, wenn eine fehlerhaft gestaltete Nachricht aufgrund einer unendlichen Rekursion analysiert wird.

Niedrig
(2.2)

Couchbase Server

Server
6.6.6,
7.0.5,
7.1.3

Server
7.2.0,
7.1.4

Mai 2023

CVE-2023-28470

Volltextsuche (FTS) nsstats-Endpunkt ist ohne Authentifizierung zugänglich.

Der FTS stats Endpunkt unter / api / nsstats implementiert keine korrekte Authentifizierung, so dass es möglich ist, die Namen von Couchbase Server Buckets, die Namen von FTS Indizes und die Konfiguration von FTS Indizes ohne Authentifizierung einzusehen. Der Inhalt der Buckets und Indizes wird nicht angezeigt.

Mittel
(5.3)

Couchbase Server

Server
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.6.x

Server
7.1.4

März 2023

CVE-2023-25016

Bei einem Absturz während einer Knotenverbindung können Anmeldeinformationen in die Protokolle gelangen.

Bei einem Ausfall der Knotenverbindung können die unredigierten Anmeldedaten des Benutzers, der die REST-Anfrage stellt, in die Protokolldateien gelangen.

Mittel
(6.3)

Couchbase Server

Server
7.1.1,
7.1.0,
7.0.4,
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x,
4.x,
3.x,
2.x

Server
7.1.2,
7.0.5,
6.6.6

Januar 2023

CVE-2022-42951

Dem Couchbase Cluster Manager fehlen Zugriffskontrollen während eines Neustarts des Clusterknotens.

Während des Starts eines Couchbase-Serverknotens gibt es eine kurze Zeitspanne, in der das Sicherheits-Cookie auf "nocookie" gesetzt ist, wodurch die Zugriffskontrolle auf das Erlang-Verteilungsprotokoll fehlt. Wenn ein Angreifer während dieser Zeit eine Verbindung zu diesem Protokoll herstellt, kann er beliebigen Code aus der Ferne auf jedem Clusterknoten zu jedem Zeitpunkt ausführen, bis die Verbindung getrennt wird. Der ausgeführte Code wird mit den gleichen Rechten wie der Couchbase Server ausgeführt.

Kritisch
(9.8)

Couchbase Server

Server
7.1.1,
7.1.0,
7.0.4,
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x

Server
7.1.2,
7.0.5,
6.6.6

Januar 2023

CVE-2022-42004

CVE-2022-42003

Aktualisierung von Jackson Databind auf 2.13.4.2+, wie es im Analytics Service verwendet wird, um Sicherheitslücken zu beheben.

Eine Erschöpfung der Ressourcen des Couchbase Analytics Service kann auftreten, weil eine Prüfung fehlt, die die Verwendung von tief verschachtelten Arrays verhindert.

Hoch
(7.5)

Couchbase Server

Server
7.1.2,
7.1.1,
7.1.0,
7.0.4,
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1
6.6.0
6.5.x,
6.0.x,
5.x,
4.x

Server
7.1.3,
7.0.5,
6.6.6

Januar 2023

CVE-2022-42950

Eine manipulierte HTTP-Anfrage an die REST-API kann einen OOM des Sicherungsdienstes verursachen.

Ein extrem großer (oder unbegrenzter) HTTP-Anfragekörper kann dazu führen, dass der Sicherungsdienst einen OOM-Fehler (Out-of-Memory) verursacht.

Mittel
(4.9)

Couchbase Server

Server
7.1.1,
7.1.0,
7.0.4,
7.0.3,
7.0.2,
7.0.1,
7.0.0

Server
7.1.2,
7.0.5

Januar 2023

CVE-2022-1096

Aktualisierung der V8 Javascript Engine auf 10.7.x.

Die v8 Javascript-Engine, wie sie im Couchbase Server Eventing Service, View Engine, XDCR und N1QL UDFs verwendet wird, wurde aktualisiert, da es in Versionen vor 99.0.4844.84 eine Typverwechslung gibt, die es einem entfernten Angreifer ermöglicht, eine Heap Corruption über eine manipulierte Anfrage auszunutzen.

Hoch
(8.8)

Couchbase Server

Server
7.1.1,
7.1.0,
7.0.4,
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.x,
5.x,
4.x,
3.x,
2.x

Server
7.1.2,
7.0.5

Januar 2023

CVE-2021-41561

Aktualisierung von Apache Parquet auf 1.12.3.

Ein Angreifer kann Parquet-Dateien, wie sie optional vom Couchbase Analytics Service verwendet werden, verwenden, um einen Denial of Service (DoS) auszulösen, wenn bösartige Dateien falsche Werte im Dateiseiten-Header enthalten (z.B. negative Werte, wo ein positiver Wert erwartet wird). Dies wird durch ein Update der Apache Parquet Bibliothek auf eine neuere Version behoben.

Hoch
(7.5)

Couchbase Server

Server
7.1.1,
7.1.0

Server
7.1.2

November 2022

CVE-2022-37026

Aktualisierung von Erlang auf Version 24.3.4.4.

Bei der Verwendung der tls/ssl-Funktion in Couchbase Server ist es möglich, die Client-Authentifizierung in bestimmten Situationen zu umgehen. Insbesondere sind alle Anwendungen, die den ssl/tls/dtls Server und die Client-Zertifizierungsoption "{verify, verify_peer}" verwenden, von dieser Schwachstelle betroffen. Korrekturen wurden auf den unterstützten Spuren mit den Patches 23.3.4.15, 24.3.4.2 und 25.0.2 der erlang/OTP-Laufzeit veröffentlicht. Es sind nur Cluster betroffen, die eine zertifikatsbasierte Authentifizierung verwenden.

Kritisch
(9.8)

Couchbase Server

Server
7.1.1,
7.1.0

Server
7.1.2

November 2022

CVE-2022-32556

Bei bestimmten Abstürzen wird der private Schlüssel in die Protokolldateien übertragen.

Bestimmte seltene Abstürze können dazu führen, dass der private Schlüssel des erzeugten Zertifikats in den Protokolldateien auftaucht.

Mittel
(6.3)

Couchbase Server

Server
7.1.0,
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x,
4.x,
3.x

Server
7.1.1,
7.0.4,
6.6.6

Juli 2022

CVE-2022-24675

CVE-2022-23772

CVE-2022-24921

Aktualisierung von GoLang auf eine Version von mindestens 1.17.9 oder 1.18.1.

Die Programmiersprache Go und die zugehörigen Bibliotheken, die in mehreren Couchbase Server Services verwendet werden, wurden auf die Versionen 1.17.9+ oder 1.18.1+ aktualisiert, um zahlreiche CVEs zu beheben.

Hoch
(7.5)

Couchbase Server

Server
7.1.0,
7.0.4,
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5x,
6.0.x,
5.x,
4.x

Server
7.1.1,
7.0.5,
6.6.6

Juli 2022

CVE-2020-36518

Aktualisierung der jackson-databind-Bibliothek auf Version 2.13.2.2.

jackson-databind, vor 2.13.0 ermöglicht eine Java StackOverflow Exception und Denial of Service über eine große Tiefe von verschachtelten Objekten. Diese Bibliothek wird von dem Couchbase Server Analytics Service verwendet

Mittel
(6.5)

Couchbase Server

Server
7.1.0,
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x

Server
7.1.1,
7.0.4,
6.6.6

Juli 2022

CVE-2022-1292

Aktualisierung von openssl auf 1.1.1o.

Openssl wurde aktualisiert, um eine Schwachstelle in einer Openssl-Komponente, c_rehash, zu beheben. Dieses Skript durchsucht Verzeichnisse und nimmt einen Hash-Wert von jeder .pem- und .crt-Datei im Verzeichnis. Anschließend erstellt es symbolische Links für jede der durch den Hashwert benannten Dateien. Es hat einen Fehler, der die Einschleusung von Befehlen in das Skript ermöglicht.

Kritisch
(9.8)

Couchbase Server

Server
7.1.0,
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x

Server
7.1.1,
7.0.4,
6.6.6

Juli 2022

CVE-2022-34826

Die Passphrase des verschlüsselten privaten Schlüssels kann in den Protokollen auftauchen.

In Couchbase Server 7.1.0 und neuer ist es möglich, dem Couchbase Server eine Passphrase zu geben, um einen verschlüsselten TLS Private Key zu entsperren. Diese Passphrase wurde in den Logdateien als Base64 kodierter String gefunden, wenn einer der Couchbase Services, außer dem Data Service, gestartet wurde. Dies betrifft den Index Service, den Query Service, den Analytics Service, den Backup Service und den Eventing Service, wenn das optionale Feature der verschlüsselten TLS Schlüssel verwendet wird. Beachten Sie, dass ein Angreifer sowohl Zugriff auf die Protokolle als auch auf den privaten Schlüssel haben muss, um Angriffe wie einen Man-in-the-Middle-Angriff oder die Entschlüsselung der Netzwerkkommunikation durchführen zu können. Die Verwendung von Betriebssystemschutzmechanismen zur Einschränkung des Zugriffs auf diese Dateien kann eine wirksame Strategie zur Eindämmung des Problems darstellen.

Mittel
(4.4)

Couchbase Server

Server
7.1.0

Server
7.1.1

Juli 2022

CVE-2021-42581

Aktualisierung von ramda, einer client-seitigen Javascript-Bibliothek auf Version 0.28, wie sie in der Couchbase Server UI verwendet wird.

Ramda 0.27.0 und frühere Versionen ermöglichen es Angreifern, die Integrität oder Verfügbarkeit einer Anwendung zu beeinträchtigen, indem sie ein manipuliertes Objekt (das eine eigene Eigenschaft "{}proto{}" enthält) als Argument an die Funktion übergeben, was als Prototype Pollution bezeichnet wird. Angriffe vom Typ "Prototype Pollution" ermöglichen es, die Eingabevalidierung zu umgehen und eine unerwartete Javascript-Ausführung auszulösen.

Kritisch
(9.1)

Couchbase Server

Server
7.1.0,
7.0.x

Server
7.1.1

Juli 2022

CVE-2021-44906

Update von js-beautify auf 1.14.3, einer clientseitigen Javascript-Bibliothek, die in der Couchbase Server UI verwendet wird.

js-beautify hat eine Abhängigkeit mit einer bekannten Schwachstelle, Minimist. Minimist <=1.2.5 ist anfällig für Prototype Pollution über die Datei index.js, Funktion setKey() (Zeilen 69-95). Angriffe durch Prototype Pollution ermöglichen es, die Eingabevalidierung zu umgehen und eine unerwartete Javascript-Ausführung auszulösen.

Kritisch
(9.8)

Couchbase Server

Server
7.1.0,
7.0.x

Server
7.1.1

Juli 2022

CVE-2022-33911

Feldnamen werden in protokollierten Validierungsmeldungen für Analytics Service nicht geschwärzt.

Wenn sekundäre Indizes mit dem Couchbase Server Analytics Service erstellt werden, gibt es einige Validierungen der indizierten Felder, die dem Benutzer gemeldet und protokolliert werden. Die Fehlermeldung mit dem Code ASX0013 wird in mehreren Pfaden verwendet, um zu melden und zu protokollieren, dass es einen doppelten Feldnamen gibt. Die Feldnamen in diesen protokollierten Überprüfungsmeldungen werden nicht geschwärzt. Auch die Fehlermeldungen mit dem Code ASX1079 enthalten Feldnamen, die nicht geschwärzt sind.

Niedrig
(1.8)

Couchbase Server

Server
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x

Server
7.0.4,
6.6.6

Juni 2022

CVE-2022-33173

Analytics Remote Links kann vorübergehend auf eine Nicht-TLS-Verbindung umschalten, um den TLS-Port zu ermitteln.

Wenn der Aufbau einer TLS-Verbindung für eine mit encryption=full konfigurierte Analytik-Remote-Verbindung fehlschlägt, versucht die Laufzeitumgebung, den (nicht standardmäßigen) TLS-Port zu ermitteln, indem sie eine Nicht-TLS-Verbindung zum Remote-Cluster herstellt und SCRAM-SHA zur Authentifizierung verwendet. Da bei SCRAM-SHA die Anmeldeinformationen nicht gemeinsam genutzt werden, ist nicht zu erwarten, dass das System die vorgeschriebene Verschlüsselungsstufe, die eine TLS-Verbindung spezifiziert, herabsetzen würde. Dieser Fallback-Mechanismus wurde entfernt, und wenn es nicht gelingt, eine TLS-Verbindung herzustellen, schlägt CONNECT LINK einfach fehl, bis der richtige TLS-Port als Teil der Link-Konfiguration angegeben wird.

Niedrig
(2.0)

Couchbase Server

Server
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0

Server
7.0.4,
6.6.6

Juni 2022

CVE-2022-32565

Das Protokoll des Sicherungsdienstes enthält unredigierte Benutzernamen und Dokument-IDs.

Wenn der Sicherungsdienst eine Audit-Meldung nicht protokolliert, werden die Audit-Protokolldaten in die Datei backup_service.log übertragen, die nicht geschwärzt wird.

Niedrig
(1.8)

Couchbase Server

Server
7.0.x

Server
7.1.0

Juni 2022

CVE-2020-14040

Aktualisieren Sie das Paket golang.org/x/text auf 0.3.4 oder höher.

Das golang.org/x/text/encoding/unicode-Paket, das dazu führen konnte, dass der UTF-16-Decoder in eine Endlosschleife geriet, wodurch das Programm abstürzte oder keinen Speicher mehr hatte.

Hoch
(7.5)

Couchbase Server

Server
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x

Server
7.0.4,
6.6.6

Juni 2022

CVE-2022-32192

couchbase-cli gibt das Secrets Management Master-Passwort als Kommandozeilenargument aus.

Der couchbase-cli erzeugt einen sehr kurzlebigen erlang-Prozess, der das Master-Passwort als Prozessargument hat. Das bedeutet, dass jeder, der die Prozessliste zu diesem Zeitpunkt erhält, das Master-Passwort hat. Dies betrifft nur Couchbase Server Cluster, die das Secrets Management Feature nutzen.

Mittel
(5.5)

Couchbase Server

Server
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x

Server
7.0.4,
6.6.6

Juni 2022

CVE-2022-32562

Operationen können bei Sammlungen mit veralteter RBAC-Berechtigung erfolgreich sein.

Wenn eine RBAC-Rolle eine Berechtigung auf Sammlungsebene enthält (z. B. query_select[src:_default:Collection1]) und der Name der Sammlung gelöscht und im Bucket neu erstellt wird, ist die Berechtigung auf Sammlungsebene weiterhin gültig. Dadurch kann der Benutzer mit der Rolle auf die Sammlung zugreifen, obwohl seine Berechtigung beim Löschen der Sammlung hätte entfernt werden müssen.

Hoch
(8.8)

Couchbase Server

Server
7.0.3,
7.0.2,
7.0.1,
7.0.0

Server
7.0.4

Juni 2022

CVE-2022-32560

XDCR - fehlende Rollenprüfung beim Ändern interner Einstellungen.

In den betroffenen Versionen von Couchbase Server können die internen XDCR Einstellungen ohne Authentifizierung geändert werden.

Mittel
(4.0)

Couchbase Server

Server
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.x,
5.x,
4.x

Server
7.0.4

Juni 2022

CVE-2022-32564

couchbase-cli: server-eshell gibt das Cluster Manager Cookie preis.

In den betroffenen Versionen von Couchbase Server wird das Erlang "Cookie" über ein Kommandozeilenargument an 'erl' übergeben, wenn der Befehl 'server-eshell' verwendet wird; dadurch wurde das "Cookie" für alle sichtbar, die die Prozessargumente von 'couchbase-cli' lesen konnten. Das Cookie sollte geheim bleiben, da es zur Durchführung von administrativen Aufgaben im Cluster verwendet werden kann.

Hoch
(7.8)

Couchbase Server

Server
7.0.3,
7.0.2,
7.1.0,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x,
4.x,
3.x,
2.x,
1.x

Server
7.0.4,
6.6.6

Juni 2022

CVE-2021-3737

Python wurde auf 3.9.12 aktualisiert, um ein Denial-of-Service-Problem zu beheben.
Eine Schwachstelle wurde in Python gefunden. Eine unsachgemäß behandelte HTTP-Antwort im HTTP-Client-Code von Python kann es einem entfernten Angreifer, der den HTTP-Server kontrolliert, ermöglichen, das Client-Skript in eine Endlosschleife zu bringen, die CPU-Zeit verbraucht. Dieses Problem betrifft nur Cluster, die die Entwickler-Vorschaufunktion, Analytics UDFs, verwenden.

Hoch
(7.5)

Couchbase Server

Server
7.0.3,
7.0.2,
7.0.1,
7.0.0

Server
7.0.4

Juni 2022

CVE-2022-32558

Beim Laden von Mustereimern können bei einem Ausfall interne Benutzerkennwörter verloren gehen.

Ein Fehler beim Laden eines Sample-Buckets (beer-sample, gamesim-sample, travel-sample) kann dazu führen, dass das Passwort für den internen @ns_server-Admin-Benutzer in den Logs (debug.log, error.log, info.log, reports.log) auftaucht. Das @ns_server-Konto kann zur Durchführung administrativer Aktionen verwendet werden.

Mittel
(6.4)

Couchbase Server

Server
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0

Server
7.0.4,
6.6.6

Juni 2022

CVE-2022-32193

Der private Schlüssel kann bei einem Absturz der Cluster Manager Komponente des Couchbase Servers protokolliert werden.

Beim Hinzufügen von Clusterknoten kann ein Absturz des Cluster Managers (ns_server) dazu führen, dass der private Schlüssel in die Protokolldateien sickert. Jemand, der Zugriff auf die Protokolldateien hat, kann möglicherweise sichere Netzwerkverbindungen zum Cluster entschlüsseln. Wenn TLS verwendet wird, können die Anmeldedaten von Benutzern und Anwendungen, die sich beim Cluster anmelden, in Erfahrung gebracht werden.

Mittel
(6.3)

Couchbase Server

Server
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0

Server
7.0.4,
6.6.6

Juni 2022

CVE-2022-32561

Frühere Abhilfemaßnahmen für CVE-2018-15728 erwiesen sich als unzureichend, als sich herausstellte, dass auf Diagnose-Endpunkte weiterhin über das Netzwerk zugegriffen werden konnte.

Diagnoseendpunkte wie diag/eval sind eingeschränkt und können nur über das Loopback-Netzwerk ausgeführt werden. Die Prüfungen, die zur Behebung von CVE-2018-15728 eingeführt wurden, prüfen jedoch nicht korrekt, ob ein "X-Forwarded-For"-Header eine Loopback-Adresse enthält. Dieser Header kann manipuliert werden, um die Loopback-Beschränkung zu umgehen.

Die Schwachstelle ist gemäß RFC6890 auf Anfragen aus privaten Netzwerken und gemeinsamen Adressräumen beschränkt.

Um erfolgreich Anfragen an diese Endpunkte stellen zu können, benötigt ein Benutzer volle administrative Rechte, unabhängig vom verwendeten "X-Forwarded-For"-Header.

Ein Workaround für dieses Problem ist die Firewall für Anfragen an die Couchbase Server Knoten, die "X-Forwarded-For" Header enthalten, in Umgebungen, in denen sie nicht benötigt werden.

Anerkennungen: Mucahit Karadag / PRODAFT

Hoch
(8.8)

Couchbase Server

Server
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x

Server
6.6.5,
7.0.4

Juni 2022

CVE-2022-32557

Der Indexdienst erzwingt keine Authentifizierung für TCP/TLS-Server.

Der Index Service betreibt mehrere Netzwerkprozesse, Queryport, Dataport und Adminport. Diese werden verwendet, um mit anderen Couchbase Services zu kommunizieren. Diese Prozesse nehmen an der Node-to-Node Kommunikation teil, kommunizieren aber nicht direkt mit SDK Anwendungen. In den betroffenen Versionen von Couchbase Server erzwingen diese Netzwerkprozesse keine Authentifizierung, so dass sie Anfragen von nicht authentifizierten Benutzern verarbeiten.

Der Queryport-Server kann einem nicht authentifizierten Benutzer die Ergebnisse der Indexsuche mitteilen.

Der Dataport-Server kann einem nicht authentifizierten Benutzer erlauben, indizierte Daten zu ändern.

Der Adminport-Server kann nicht authentifizierten Benutzern die Durchführung von DDL-Operationen (z. B. Index erstellen und löschen) gestatten.

Möglicher Workaround: Da diese Ports nur fÃ?r die interne Kommunikation von Couchbase Server verwendet werden, kann jede Verbindung/Kommunikation mit Nicht-Couchbase Server Knoten und Prozessen auf der Netzwerkebene deaktiviert werden.

Hoch
(8.2)

Couchbase Server

Server
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.x,
5.x,
4.x

Server
7.0.4

Juni 2022

CVE-2022-32559

Zufällige http-Anfragen führen zu durchgesickerten Metriken.

Nicht authentifizierte Benutzer können einen REST-API-Aufruf an den Clustermanager senden. Jede HTTP-Anforderung, die der Clustermanager noch nicht gesehen hat, führt zur Erstellung einer neuen Metrik. Jede neue Metrik benötigt etwas Arbeitsspeicher und Festplattenplatz, was zu einem Speicher- und Festplattenplatzleck führen kann. Wenn genügend Ressourcen verbraucht werden, kann dies zum Ausfall eines Couchbase Server Knotens führen.

Hoch
(7.5)

Couchbase Server

Server
7.0.3,
7.0.2,
7.0.1,
7.0.0

Server
7.0.4

Juni 2022

CVE-2022-32563

Admin Credentials werden nicht verifiziert, wenn eine X.509 Client-Zertifizierung vom Sync Gateway zum Couchbase Server verwendet wird.

Wenn Sync Gateway so konfiguriert ist, dass es sich mit Couchbase Server über X.509 Client-Zertifikate authentifiziert, werden die Admin-Zugangsdaten, die dem Admin REST API zur Verfügung gestellt werden, ignoriert, was zu einer Privilegienerweiterung für nicht-authentifizierte Benutzer führt. Das Public REST API ist von diesem Problem nicht betroffen.

Umgehung: Ersetzen Sie die auf X.509-Zertifikaten basierende Authentifizierung durch die Authentifizierung mit Benutzername und Kennwort innerhalb der Bootstrap-Konfiguration.

Kritisch
(9.8)

Couchbase Sync Gateway

Couchbase Sync Gateway:
3.0.0,
3.0.1

3.0.2

Juni 2022

CVE-2021-33504

Die Hinzufügung nicht vertrauenswürdiger Knoten kann manipuliert werden, um ein Clustergeheimnis auszuspähen.

Administratoren, die einen nicht vertrauenswürdigen Knoten zu einem Cluster hinzufügen, könnten versehentlich das Risiko eingehen, den Cluster-Cookie zu übertragen, der geheim bleiben sollte.

Dies kann durch den Einsatz von TLS-Verschlüsselung mit von der Zertifizierungsstelle signierten Zertifikaten behoben werden. Wenn TLS verwendet wird, muss ein vertrauenswürdiges Zertifikat auf dem eingehenden Knoten von Couchbase Server Version 7.1.0 vorhanden sein.

Anerkennungen: Ofir Hamam, Sicherheitsforscher am Advanced Security Center von EY Israel

Hoch
(7.6)

Couchbase Server

Server
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.x,
5.x,
4.x,
3.x,
2.x

Server
7.1.0

Mai 2022

CVE-2022-26311

Geheimnisse, die in den von Kubernetes-Umgebungen gesammelten Protokollen nicht geschwärzt werden.

Mit Couchbase Operator 2.2.0 wurde eine Optimierung eingeführt, die das Sammeln von Logs vereinfacht. Wenn Logs gesammelt werden, wird das Support-Tool - "cbopinfo" - verwendet, um Kubernetes-Ressourcen zu sammeln, die notwendig sind, um einen Einblick in den beabsichtigten Zustand der Ressourcen und den aktuellen Status zu erhalten. Vor den betroffenen Versionen wurden geheime Daten unkenntlich gemacht, doch diese Funktion wurde in der neuen Erfassungsmethode nicht beibehalten. Infolgedessen enthielten die Protokolle fälschlicherweise alle Passwörter, Token und privaten Schlüssel innerhalb des Bereichs der Protokollsammlung. Standardmäßig ist dieser Bereich auf den Kubernetes Namespace beschränkt, in dem sich der untersuchte Couchbase Server-Cluster befindet. Die Ausnahme ist, wenn das --system Flag spezifiziert wurde. In diesem Fall werden alle Secrets der Plattform offengelegt. Logs werden verwendet, um Kundenprobleme zu identifizieren und zu beheben. Daher sind nur Kunden betroffen, die Logs mit den angegebenen Tool-Versionen geliefert haben. Couchbase wird sicherstellen, dass alle betroffenen Logs, die zur Verfügung gestellt wurden, redigiert werden.

Hoch
(7.2)

Couchbase Cloud Native Operator

2.2.0,
2.2.1,
2.2.2

2.2.3

März 2022

CVE-2021-44228

Aktualisierung von Apache Log4J auf 2.15.0

Eine kritische Schwachstelle im Apache Log4J Dienstprogramm, das vom Couchbase Analytics Service verwendet wird, muss aktualisiert werden, um eine mögliche Remote Code Execution (RCE) und die Extraktion sensibler Daten zu verhindern.

Kritisch
(10)

Couchbase Server

Server
7.0.2,
7.0.1,
7.0.0,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x

Server
7.0.3,
6.6.4

Dezember 2021

CVE-2021-43963

Sync Gateway speichert unsichere Couchbase Server Bucket Credentials

Die Bucket Credentials, die von Sync Gateway zum Lesen und Schreiben von Daten in Couchbase Server verwendet werden, wurden unsicher in den Metadaten der Sync-Dokumente gespeichert, die in den Bucket geschrieben wurden. Benutzer mit Lesezugriff konnten diese Anmeldedaten verwenden, um Schreibzugriff zu erhalten. Dieses Problem betrifft keine Cluster, in denen Sync Gateway mit x.509 Client Zertifikaten authentifiziert ist. Dieses Problem betrifft auch keine Cluster, bei denen der gemeinsame Bucket-Zugriff auf Sync Gateway nicht aktiviert ist.

Mittel
(6.5)

Couchbase Sync Gateway

Sync-Gateway
2.8.2,
2.8.1,
2.8.0,
2.7.x

Sync Gateway 2.8.3

Oktober 2021

CVE-2021-37842

Protokolle, die XDCR remoteCluster-Anmeldeinformationen nicht redigieren

Remote Cluster XDCR Credentials können in Debug Logs durchgesickert sein. Config Key Tombstone Purging wurde in Couchbase Server 7.0.0 hinzugefügt. Dieses Problem tritt auf, wenn ein Config Key, der geloggt wird, einen Tombstone Purger Zeitstempel hat.

Hoch
(7.6)

Couchbase Server

Server
7.0.1,
7.0.0

Server
7.0.2

Oktober 2021

CVE-2021-42763

Im Fehlerprotokoll eines Absturzes aufgedeckte Anmeldeinformationen aus einer Rückverfolgung

Als Teil einer cbcollect_info Logsammlung sammelt der Couchbase Server die Prozessinformationen aller Prozesse, die in der Erlang VM laufen. Das Problem tritt auf, wenn der Clustermanager einen HTTP Request von der pluggable UI (Query Workbench, etc.) an den spezifischen Service weiterleitet. In der Rückverfolgung enthält der Basic Auth Header in der HTTP-Anfrage die "@"-Benutzeranmeldeinformationen des Knotens, der die UI-Anfrage verarbeitet. Damit das Problem auftritt, muss die Prozessinformation genau zu dem Zeitpunkt ausgelöst werden, zu dem eine steckbare UI-Anfrage vom Clustermanager bearbeitet wird.

Hoch
(8.8)

Couchbase Server

Sever
7.0.1,
7.0.0,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x,
4.5.x

Server
6.6.3,
7.0.2

Oktober 2021

CVE-2021-33503

Aktualisierung der Python urllib3 auf 1.26.5 oder höher

Ein Problem wurde in urllib3 vor 1.26.5 entdeckt, das von Couchbase Server Kommandozeilentools verwendet wird. Wenn diese Tools mit einer URL versorgt werden, die viele @-Zeichen in der authority-Komponente enthält, zeigt der reguläre Ausdruck authority ein katastrophales Backtracking, was zu einem Denial of Service des Kommandozeilen-Tools führt, wenn eine URL als Parameter übergeben oder über einen HTTP-Redirect weitergeleitet wird.

Hoch
(7.5)

Couchbase Server

Server
7.0.1,
7.0.0,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x

Server
6.6.3,
7.0.2

Oktober 2021

CVE-2020-36242

Aktualisierung des Python-Kryptographie-Pakets auf 3.3.2

Im Kryptographie-Paket vor 3.3.2 für Python, wie es von den Couchbase Server Kommandozeilen-Tools verwendet wird, konnten bestimmte Sequenzen von Update-Aufrufen zur symmetrischen Verschlüsselung von Multi-GB-Werten zu einem Integer- und Pufferüberlauf in diesem Tool führen.

Kritisch
(9.1)

Couchbase Server

Sever
7.0.1,
7.0.0,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x,
4.5.x

Server
6.6.3,
7.0.2

Oktober 2021

CVE-2021-35944

Ein speziell präpariertes Netzwerkpaket, das von einem Angreifer gesendet wird, kann memcached zum Absturz bringen

Dies kann zur NichtverfÃ?gbarkeit des Data Service fÃ?hren. Es wird empfohlen, eine Firewall zu verwenden, um nur den Netzwerkverkehr von Ihren Anwendungen mit dem Couchbase Server Cluster zuzulassen.

Hoch
(8.2)

Couchbase Server

Server
7.0.0,
6.6.2,
6.6.1,
6.6.0,
6.5.x

Server
6.6.3,
7.0.1

September 2021

CVE-2021-35945

Ein speziell präpariertes Netzwerkpaket, das von einem Angreifer gesendet wird, kann memcached zum Absturz bringen

Dies kann zur NichtverfÃ?gbarkeit des Data Service fÃ?hren. Es wird empfohlen, eine Firewall zu verwenden, um nur den Netzwerkverkehr von Ihren Anwendungen mit dem Couchbase Server Cluster zuzulassen.

Hoch
(8.2)

Couchbase Server

Server
7.0.0,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x,
4.6.x,
4.5.x

Server
6.6.3,
7.0.1

September 2021

CVE-2021-35943

Extern verwaltete Benutzer werden gemäß RFC4513 nicht daran gehindert, ein leeres Passwort zu verwenden.

Wenn ein LDAP oder Active Directory Server, der für die externe Authentifizierung verwendet wird, so konfiguriert ist, dass er unsichere unauthentifizierte Bindungen zulässt, erlaubt der Couchbase Server Cluster Manager die Authentifizierung eines externen Benutzers mit einem leeren Passwort.

LDAP-Server können so konfiguriert werden, dass unauthentifizierte Bind-Anfragen mit einem resultCode von "unwillingToPerform" fehlschlagen, um dies zu verhindern.

Kritisch
(9.8)

Couchbase Server

Server
6.6.2,
6.6.1,
6.6.0,
6.5.x

Server 6.6.3

August 2021

CVE-2021-23840

CVE-2021-3450

CVE-2021-3449

Aktualisieren Sie OpenSSL auf Version 1.1.1k

Mehrere Sicherheitsprobleme in OpenSSL wurden behoben, von denen eines zum Absturz des TLS-Servers führen konnte, wenn eine bösartig gestaltete Renegotiation ClientHello-Nachricht von einem Client gesendet wurde.

Mittel / Hoch
(5.9,
7.4,
7.5)

Couchbase Server

Server
6.6.2,
6.6.1,
6.6.0,
6.5.x

Server 6.6.3

August 2021

CVE-2019-10768

Aktualisierung von AngularJS auf 1.8.0

Problem in Angular, wie es von der Couchbase UI verwendet wird, das einen Denial of Service durch Modifikation der merge() Funktion verursachen kann.

Hoch
(7.5)

Couchbase Server

Server
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x,
4.6.x,
4.5.x

Server 6.6.3

August 2021

CVE-2021-31158

N1QL Common Table Expressions (CTEs) behandelten die Zugriffskontrolle falsch.

Common Table Expression N1QL-Abfragen beachteten die RBAC-Sicherheitskontrollen nicht korrekt und gaben Benutzern, die nicht über die erforderliche Berechtigung verfügten, Lesezugriff.

Mittel
(6.5)

Couchbase Server

Server
6.6.1,
6.6.0,
6.5.2,
6.5.1,
6.5.0

Server 6.6.2

Februar 2020

CVE-2019-14863

FTS UI zum Upgrade auf Angular 1.6.9

Die Benutzeroberfläche von Full Text Seach verwendet AngularJS 1.4.7, für das einige bekannte, schwerwiegende Sicherheitslücken bestehen. Diese AngularJS-Bibliotheken wurden auf eine neuere Version von Angular aktualisiert, in der diese Sicherheitslücken behoben wurden.

Hoch
(7.4)

Couchbase Server

6.0.2,
5.5.5

6.5.0

Januar 2020

CVE-2020-9040

Bis core-io 1.7.11 (und folglich Java SDK 2.7.11) ist die Hostnamenüberprüfung bei TLS/SSL-Verbindungen nicht aktiviert und kann in bestimmten Umgebungen ein Sicherheitsrisiko darstellen.

Java 6 (JDK 1.6 - die ältere SDK-Basisversion) unterstützte die Hostnamenüberprüfung nicht von Haus aus. Sobald das SDK auf Java 7 (Java 1.7) als Basisversion umgestellt wurde, war es möglich, die Unterstützung hinzuzufügen. Dies geschah in jvm-core 1.7.11 (was zu java-client 2.7.11 übersetzt wird). In früheren Versionen ist es nicht möglich, sie manuell als Workaround hinzuzufügen, da die Möglichkeiten, sie entsprechend anzupassen, nicht gegeben sind. Um Anwendungen, die auf das alte Verhalten angewiesen sind, nicht zu zerstören, ist die Hostnamenüberprüfung immer noch standardmäßig deaktiviert, kann aber in der SDK Konfiguration (CouchbaseEnvironment Klasse) aktiviert werden.

Hoch
(7.5)

Couchbase Java SDK
Couchbase Spark-Anschluss
Couchbase Kafka Konnektor
(Konnektoren je nach Java SDK oder Core-IO)

1.7.10,
1.6.0,
1.5.0,
1.4.0,
1.3.0,
1.2.0,
1.1.0,
1.0.0

2.7.11

April 2019

CVE-2020-9039

Die REST-Endpunkte von Projektor und Indexer erforderten keine Authentifizierung

Der REST-Endpunkt /settings, der vom Projektorprozess bereitgestellt wird, ist ein Endpunkt, den Administratoren für verschiedene Aufgaben wie die Aktualisierung der Konfiguration und die Erfassung von Leistungsprofilen verwenden können. Der Endpunkt war nicht authentifiziert und wurde aktualisiert, damit nur authentifizierte Benutzer auf diese administrativen APIs zugreifen können.

Anerkennungen: Apple-Sicherheitsteam

Hoch
(7.6)

Couchbase Server

5.5.1,
5.5.0,
5.0.1,
5.0.0,
4.6.x,
4.5.x,
4.1.x,
4.0.x

6.5.0
6.0.0
5.5.2
5.1.2

September 2018

CVE-2020-9042

Couchbase Server gibt eine WWW-Authenticate Antwort auf nicht-authentifizierte Anfragen zurück

Die Server-REST-API antwortet mit einem {{WWW-Authenticate}}-Header auf nicht authentifizierte Anfragen, der es dem Benutzer ermöglicht, sich über einen Benutzer-/Kennwortdialog in einem Webbrowser zu authentifizieren. Das Problem ist, dass diese Anmeldeinformationen vom Browser zwischengespeichert werden, was es einem Hacker ermöglicht, CSRF zu verwenden, um einen Cluster anzugreifen, wenn ein Administrator seinen Browser verwendet hat, um die Ergebnisse einer REST-API-Anfrage zu überprüfen. Dieses Verhalten kann mit couchbase-cli deaktiviert werden (couchbase-cli setting-security --set --disable-www-authenticate 1 -c localhost:8091 -u -p ). Dies ist nicht standardmäßig deaktiviert, da es bestehende Tools oder Skripte beschädigen könnte.

Anerkennungen: Apple-Sicherheitsteam

Mittel
(6.3)

Couchbase Server

6.0.0

6.5.1

April 2020

CVE-2019-11464

Port 8092 vermisst X-XSS-Schutz-Header

Einige Unternehmen verlangen, dass REST-API-Endpunkte sicherheitsrelevante Header in REST-Antworten enthalten. Header wie X-Frame-Options und X-Content-Type-Options sind im Allgemeinen ratsam, aber einige Informationssicherheitsexperten verlangen zusätzlich X-Permitted-Cross-Domain-Policies und X-XSS-Protection, die allgemeiner für HTML-Endpunkte gelten, die ebenfalls enthalten sein müssen. Diese Header sind nun in den Antworten der Couchbase Server Views REST API (Port 8092) enthalten.

Mittel
(5.4)

Couchbase Server

5.5.0
5.1.2

6.0.2

März 2019

CVE-2019-9039

Verhinderung der N1QL-Injektion in Sync Gateway über _all_docs startkey, endkey

Ein Angreifer mit Zugriff auf die öffentliche REST-API des Sync Gateways war in der Lage, zusätzliche N1QL-Anweisungen auszuführen und sensible Daten zu extrahieren oder beliebige N1QL-Funktionen über die Parameter "startkey" und "endkey" am Endpunkt "_all_docs" aufzurufen. Durch das Ausführen von verschachtelten Abfragen mit CPU-intensiven Operationen konnten sie möglicherweise eine erhöhte Ressourcennutzung und Denial-of-Service-Bedingungen verursachen. Der _all_docs Endpunkt wird für die Couchbase Mobile Replikation nicht benötigt und der externe Zugriff auf diesen REST Endpunkt wurde blockiert, um dieses Problem zu entschärfen.

Anerkennungen: Denis Werner/HiSolutions AG

Hoch
(7.6)

Couchbase Sync Gateway

2.1.2

2.5.0
2.1.3

Februar 2019

CVE-2019-11466

Der Eventing-Debug-Endpunkt muss eine Authentifizierung erzwingen.

Der Ereignisdienst stellt ein Systemdiagnoseprofil über einen HTTP-Endpunkt zur Verfügung, für den keine Anmeldeinformationen an einem Port erforderlich sind, der nur für den internen Datenverkehr vorgesehen ist. Dies wurde behoben und erfordert nun gültige Anmeldedaten für den Zugriff.

Hoch
(7.1)

Couchbase Server

6.0.0
5.5.0

6.0.1

Dezember 2018

CVE-2019-11465

Memcached "connections" stat block Befehl gibt nicht-reduzierten Benutzernamen aus

Die Systeminformationen, die Couchbase im Rahmen eines Fehlerberichts übermittelt wurden, enthielten die Benutzernamen aller derzeit im System angemeldeten Benutzer, auch wenn das Protokoll aus Datenschutzgründen geschwärzt war.

Dieses Problem wurde behoben, so dass die Benutzernamen in den Protokollen richtig gekennzeichnet und beim Schwärzen der Protokolle gelöscht werden.

Mittel
(6.5)

Couchbase Server

6.0.0,
5.5.3,
5.5.2,
5.5.1,
5.5.0

6.0.1
5.5.4

Januar 2019

CVE-2018-15728

Der Endpunkt /diag/eval ist nicht auf localhost beschränkt.

Couchbase Server stellt den '/diag/eval' Endpunkt zur Verfügung, der standardmäßig auf TCP/8091 und/oder TCP/18091 verfügbar ist. Authentifiziert Benutzer, die Voller Admin Die zugewiesene Rolle konnte beliebigen Erlang-Code an den 'diag/eval'-Endpunkt der API senden, der dann im zugrundeliegenden Betriebssystem mit den Rechten des Benutzers ausgeführt wurde, der Couchbase gestartet hat.

Anerkennungen: Apple-Sicherheitsteam

Hoch
(8.8)

Couchbase Server

5.5.1,
5.5.0,
5.1.1,
5.0.1,
5.0.0,
4.6.5,
4.5.1,
4.1.2,
4.0.0

6.0.0
5.5.2

Oktober 2018

CVE-2019-11495

Der Erlang-Cookie verwendet einen schwachen Zufallswert.

Der Cookie, der für die Kommunikation zwischen den Knoten verwendet wird, wurde nicht sicher generiert. Couchbase Server verwendet erlang:now(), um den PRNG zu seeden, was zu einem kleinen Suchraum für potentielle Zufallsseeds führt, die dann verwendet werden könnten, um den Cookie mit Brute-Force zu erzwingen und Code gegen ein entferntes System auszuführen.

Anerkennungen: Apple-Sicherheitsteam

Hoch
(7.9)

Couchbase Server

5.1.1

6.0.0

September 2018

CVE-2019-11467

JSON-Dokument mit >3k '\t'-Zeichen stürzt Indexer ab.

Bei der sekundären Indizierung werden die zu indizierenden Einträge mit collatejson kodiert. Wenn Indexeinträge bestimmte Zeichen wie z. B. \t, enthielten, kam es zu einem Pufferüberlauf, da die kodierte Zeichenfolge viel größer war als vorgesehen, was zu einem Absturz und Neustart des Indexierungsdienstes führte. Dies wurde jetzt behoben, um sicherzustellen, dass der Puffer immer so wächst, wie es für jede Eingabe erforderlich ist.

Anerkennungen: D-Trust GmbH

Mittel
(5.8)

Couchbase Server

5.5.0,
4.6.3

5.1.2,
5.5.2

August 2018

CVE-2019-11497

XDCR validiert ein Remote-Cluster-Zertifikat nicht.

Wenn ein ungültiges Remote-Cluster-Zertifikat als Teil der Referenzerstellung eingegeben wurde, analysierte und prüfte XDCR die Zertifikatsignatur nicht. Es akzeptierte dann das ungültige Zertifikat und versuchte, es für den Aufbau zukünftiger Verbindungen zum Remote-Cluster zu verwenden. Dieses Problem wurde behoben. XDCR prüft nun die Gültigkeit des Zertifikats gründlich und verhindert, dass eine Remote-Cluster-Referenz mit einem ungültigen Zertifikat erstellt wird.

Hoch
(7.5)

Couchbase Server

5.0.0

5.5.0

Juni 2018

CVE-2019-11496

Das Bearbeiten der Bucket-Einstellungen in Couchbase Server erlaubt die Authentifizierung ohne Anmeldedaten.

In Versionen von Couchbase Server vor 5.0 war der Bucket mit dem Namen "default" ein spezieller Bucket, der Lese- und Schreibzugriff ohne Authentifizierung erlaubte. Mit der Version 5.0 wurde das Verhalten aller Buckets, einschließlich "default", so geändert, dass nur noch authentifizierte Benutzer mit ausreichender Berechtigung darauf zugreifen können. Allerdings konnten Benutzer unauthentifizierten und unautorisierten Zugriff auf den "Standard"-Bucket erhalten, wenn die Eigenschaften dieses Buckets bearbeitet wurden. Dies wurde nun behoben.

Hoch
(8.7)

Couchbase Server

5.0.0

5.1.0
5.5.0

Dezember 2017

Plattform

Selbstverwaltet

Dienstleistungen

Fähigkeiten

Warum Couchbase?

Zu Capella migrieren

Nach Anwendungsfall

Nach Industrie

Nach Anwendungsbedarf

Beliebte Docs

Nach Entwicklerrolle

Schnellstart

Ressourcenzentrum

Über

Partnerschaften

Unsere Dienstleistungen

Partner: Ein Geschäft anmelden

Sind Sie bereit, ein Geschäft mit Couchbase zu registrieren?

Marriott

Couchbase-Warnungen

Sicherheitswarnungen für Unternehmen

Mit dem Bau beginnen

Capella kostenlos nutzen

Kontakt aufnehmen