Couchbase-Warnungen

Die Schwachstelle ermöglicht es nicht authentifizierten Angreifern mit Netzwerkzugang über mehrere Protokolle, Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition zu kompromittieren. Erfolgreiche Angriffe auf diese Schwachstelle können zu unautorisiertem Aktualisierungs-, Einfüge- oder Löschzugriff auf einige der Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition zugänglichen Daten führen.

The DES and Triple DES ciphers, as used in the TLS, SSH, and IPSec protocols and other protocols and products, have a birthday bound of approximately four billion blocks, which makes it easier for remote attackers to obtain cleartext data via a birthday attack against a long-duration encrypted session, as demonstrated by an HTTPS session using Triple DES in CBC mode, aka a “Sweet32” attack.

Der Host-Header einer eingehenden HTTP-Anfrage wurde blind in den Location-Header kopiert.

SDK will negotiate with SCRAM-SHA by default which allows for a MITM to negotiate for PLAIN credentials

Ein Out-of-Bounds-Speicherzugriff in V8 in Google Chrome vor 120.0.6099.224 ermöglicht es einem entfernten Angreifer, eine Heap Corruption über eine gestaltete HTML-Seite auszunutzen.

Im Paket python-cryptography wurde ein Fehler gefunden. Dieses Problem kann es einem entfernten Angreifer ermöglichen, erfasste Nachrichten in TLS-Servern zu entschlüsseln, die RSA-Schlüsselaustausch verwenden, was zur Offenlegung vertraulicher oder sensibler Daten führen kann.

The Query stats endpoint did not implement correct authentication, making it possible to view the stats information

Ein Benutzer mit der Berechtigung "Datenleser" konnte den Datendienst abschalten, indem er GetKeys sendete, die eine große Anzahl von Dokumenten anforderten, was einen "Out-of-Memory"-Fehler (OOM) auslöste.

A user with Data Reader role could lock a Data Service reader thread for a significant time by requesting a high number of keys and potentially lock up all reader threads by issuing the same command on multiple connections

Bei den Netzwerk-Ports 9119 und 9121 handelte es sich um nicht authentifizierte RMI-Service-Ports, die vom Analytics-Service gehostet wurden, was zu einer Eskalation der Rechte führen konnte.

The cluster’s otpCookie was leaked to users with Full Admin role on API endpoint serverGroups and both Cluster Admin and Full Admin on API endpoint engageCluster2. This could be used to elevate privileges

Calling cURL via SQL++ (N1QL) using the Query Service to the localhost’s /diag/eval endpoint wasn’t fully prevented.

The SQL++ (N1QL) cURL allowlist protection in the Query Service, wasn’t sufficient in preventing accessing restricted hosts.

Calling cURL via SQL++ (N1QL) via the Eventing Service to the local host’s /diag/eval endpoint wasn’t fully prevented.

Ein Logging-Ereignis führte dazu, dass die internen @ns_server-Admin-Zugangsdaten in verschlüsselter Form in diag.log durchgesickert sind.

The private key used for Cross Datacenter Replication (XDCR) was leaked in the goxdcr.log

Der Fehler in curl führt zum Überlauf eines Heap-basierten Puffers im SOCKS5-Proxy-Handshake.

Bei Anwendungen, die die Funktionen DH_generate_key() zur Erzeugung eines X9.42 DH-Schlüssels verwenden, und bei Anwendungen, die DH_check_pub_key(), DH_check_pub_key_ex() oder EVP_PKEY_public_check() zur Überprüfung eines X9.42 DH-Schlüssels oder von X9.42 DH-Parametern verwenden, können lange Verzögerungen auftreten. Wenn der Schlüssel oder die Parameter, die geprüft werden, aus einer nicht vertrauenswürdigen Quelle stammen, kann dies zu einem Denial of Service führen.

Das HTTP/2-Protokoll ermöglicht eine Dienstverweigerung, da der Abbruch von Anfragen viele Streams schnell zurücksetzen kann.

Das HTTP/2-Protokoll ermöglicht eine Dienstverweigerung, da der Abbruch von Anfragen viele Streams schnell zurücksetzen kann.

Eine Schwachstelle in OpenSSL im Zusammenhang mit der Überprüfung von X.509-Zertifikatsketten, die Richtlinieneinschränkungen enthalten, die es Angreifern ermöglichen würde, diese Schwachstelle auszunutzen, indem sie eine bösartige Zertifikatskette erstellen, die eine exponentielle Nutzung von Rechenressourcen auslöst, was zu einem Denial-of-Service (DoS)-Angriff auf betroffene Systeme führt.

Ein in böser Absicht erstellter HTTP/2-Stream könnte einen übermäßigen CPU-Verbrauch im HPACK-Decoder verursachen, der ausreicht, um eine Dienstverweigerung durch eine kleine Anzahl von kleinen Anfragen zu verursachen.

Eine Typenverwirrung in V8 in Google Chrome vor 114.0.5735.110 ermöglicht es einem entfernten Angreifer, eine Heap Corruption über eine gestaltete HTML-Seite auszunutzen.

Aktualisieren Sie OpenJDK auf Version 11.0.19, um zahlreiche CVEs zu beheben.

The Couchbase Server Windows UI allows an attacker to traverse the filesystem and display files that Couchbase has access to. This vulnerability doesn’t require any authentication. It’s exploitable with just appending folders/files to the Couchbase Server admin UI’s URL.

Ein böswilliger Benutzer kann einen Memcached-Server leicht zum Absturz bringen, indem er sich mit dem Server verbindet und umfangreiche Befehle sendet.

Der private Schlüssel wird in debug.log übertragen, wenn ein Vor-7.0-Knoten zu einem 7.2-Cluster hinzugefügt wird.

In Versionen vor 4.1.86.Final kann ein StackOverflowError ausgelöst werden, wenn eine fehlerhaft gestaltete Nachricht aufgrund einer unendlichen Rekursion analysiert wird.

The FTS stats endpoint at /api/nsstats does not implement correct authentication, so it is possible to view the names of Couchbase Server buckets, the names of FTS indexes and configuration of FTS indexes without authentication. The contents of the buckets and indexes are not exposed.

Bei einem Ausfall der Knotenverbindung können die unredigierten Anmeldedaten des Benutzers, der die REST-Anfrage stellt, in die Protokolldateien gelangen.

During the start of a couchbase server node there is a short time period where the security cookie is set to “nocookie” which lacks access controls over the Erlang distribution protocol. If an attacker connects to this protocol during this period, they can execute arbitrary code remotely on any cluster node at any point of time until their connection is dropped. The executed code will be running with the same privileges as the Couchbase Server.

Eine Erschöpfung der Ressourcen des Couchbase Analytics Service kann auftreten, weil eine Prüfung fehlt, die die Verwendung von tief verschachtelten Arrays verhindert.

Ein extrem großer (oder unbegrenzter) HTTP-Anfragekörper kann dazu führen, dass der Sicherungsdienst einen OOM-Fehler (Out-of-Memory) verursacht.

The v8 Javascript engine as used in the Couchbase Server Eventing Service, View Engine, XDCR and N1QL UDFs has been updated as there’s a type confusion in versions prior to 99.0.4844.84 which allowed a remote attacker to potentially exploit heap corruption via a crafted request.

Ein Angreifer kann Parquet-Dateien, wie sie optional vom Couchbase Analytics Service verwendet werden, verwenden, um einen Denial of Service (DoS) auszulösen, wenn bösartige Dateien falsche Werte im Dateiseiten-Header enthalten (z.B. negative Werte, wo ein positiver Wert erwartet wird). Dies wird durch ein Update der Apache Parquet Bibliothek auf eine neuere Version behoben.

When using the tls/ssl feature in couchbase server, it is possible to bypass client authentication in certain situations. Specifically, any application using the ssl/tls/dtls server, and the client certification option “{verify, verify_peer}” are affected by this vulnerability. Corrections have been released on the supported tracks with patches 23.3.4.15, 24.3.4.2, and 25.0.2 of the erlang/OTP runtime. Only clusters using certificate-based authentication are affected.

Bestimmte seltene Abstürze können dazu führen, dass der private Schlüssel des erzeugten Zertifikats in den Protokolldateien auftaucht.

Die Programmiersprache Go und die zugehörigen Bibliotheken, die in mehreren Couchbase Server Services verwendet werden, wurden auf die Versionen 1.17.9+ oder 1.18.1+ aktualisiert, um zahlreiche CVEs zu beheben.

jackson-databind, before 2.13.0 allows a Java StackOverflow exception and denial of service via a large depth of nested objects. This library is used by the Couchbase Server Analytics Service.

Updated openssl to fix a flaw in an openssl component, c_rehash. This script scans directories and takes a hash value of each .pem and .crt file in the directory. It then creates symbolic links for each of the files named by the hash value. It has a flaw that allows command injection in the script.

In Couchbase Server 7.1.0 and later it’s possible to provide a passphrase to Couchbase Server to unlock an encrypted TLS private key. This passphrase was found to be leaked in the log files as a Base64 encoded string when one of the Couchbase services, other than the Data Service, was starting up. This affects the Index Service, Query Service, Analytics Service, Backup Service and Eventing Service if the optional encrypted TLS keys feature is used. Note, an attacker needs to have access to the logs as well as the private key to be able to perform attacks such as performing a man in the middle attack or decrypting network communication. Using operating system protections to restrict access to these files can be an effective mitigation strategy.

Ramda 0.27.0 and earlier allows attackers to compromise integrity or availability of application via supplying a crafted object (that contains an own property “{}proto{}”) as an argument to the function, known as prototype pollution. Prototype pollution type attacks allow bypassing input validation and triggering unexpected javascript execution.

js-beautify has a dependency with a known vulnerability, Minimist. Minimist <=1.2.5 is vulnerable to Prototype Pollution via file index.js, function setKey() (lines 69-95). Prototype pollution attacks allow bypassing input validation and triggering unexpected javascript execution.

Wenn sekundäre Indizes mit dem Couchbase Server Analytics Service erstellt werden, gibt es einige Validierungen der indizierten Felder, die dem Benutzer gemeldet und protokolliert werden. Die Fehlermeldung mit dem Code ASX0013 wird in mehreren Pfaden verwendet, um zu melden und zu protokollieren, dass es einen doppelten Feldnamen gibt. Die Feldnamen in diesen protokollierten Überprüfungsmeldungen werden nicht geschwärzt. Auch die Fehlermeldungen mit dem Code ASX1079 enthalten Feldnamen, die nicht geschwärzt sind.

Wenn der Aufbau einer TLS-Verbindung für eine mit encryption=full konfigurierte Analytik-Remote-Verbindung fehlschlägt, versucht die Laufzeitumgebung, den (nicht standardmäßigen) TLS-Port zu ermitteln, indem sie eine Nicht-TLS-Verbindung zum Remote-Cluster herstellt und SCRAM-SHA zur Authentifizierung verwendet. Da bei SCRAM-SHA die Anmeldeinformationen nicht gemeinsam genutzt werden, ist nicht zu erwarten, dass das System die vorgeschriebene Verschlüsselungsstufe, die eine TLS-Verbindung spezifiziert, herabsetzen würde. Dieser Fallback-Mechanismus wurde entfernt, und wenn es nicht gelingt, eine TLS-Verbindung herzustellen, schlägt CONNECT LINK einfach fehl, bis der richtige TLS-Port als Teil der Link-Konfiguration angegeben wird.

If the backup service fails to log an audit message, it leaks the audit log data into the backup_service.log which isn’t redacted.

Das golang.org/x/text/encoding/unicode-Paket, das dazu führen konnte, dass der UTF-16-Decoder in eine Endlosschleife geriet, wodurch das Programm abstürzte oder keinen Speicher mehr hatte.

Der couchbase-cli erzeugt einen sehr kurzlebigen erlang-Prozess, der das Master-Passwort als Prozessargument hat. Das bedeutet, dass jeder, der die Prozessliste zu diesem Zeitpunkt erhält, das Master-Passwort hat. Dies betrifft nur Couchbase Server Cluster, die das Secrets Management Feature nutzen.

Wenn eine RBAC-Rolle eine Berechtigung auf Sammlungsebene enthält (z. B. query_select[src:_default:Collection1]) und der Name der Sammlung gelöscht und im Bucket neu erstellt wird, ist die Berechtigung auf Sammlungsebene weiterhin gültig. Dadurch kann der Benutzer mit der Rolle auf die Sammlung zugreifen, obwohl seine Berechtigung beim Löschen der Sammlung hätte entfernt werden müssen.

In den betroffenen Versionen von Couchbase Server können die internen XDCR Einstellungen ohne Authentifizierung geändert werden.

In affected versions of Couchbase Server, the Erlang “cookie” is passed via a command-line argument to ‘erl’ when using the ‘server-eshell’ command; this leaked the “cookie” to all who could read the ‘couchbase-cli’ process arguments. The cookie should remain secret as it can be used to perform administrative tasks in the cluster.

Eine Schwachstelle wurde in Python gefunden. Eine unsachgemäß behandelte HTTP-Antwort im HTTP-Client-Code von Python kann es einem entfernten Angreifer, der den HTTP-Server kontrolliert, ermöglichen, das Client-Skript in eine Endlosschleife zu bringen, die CPU-Zeit verbraucht. Dieses Problem betrifft nur Cluster, die die Entwickler-Vorschaufunktion, Analytics UDFs, verwenden.

Ein Fehler beim Laden eines Sample-Buckets (beer-sample, gamesim-sample, travel-sample) kann dazu führen, dass das Passwort für den internen @ns_server-Admin-Benutzer in den Logs (debug.log, error.log, info.log, reports.log) auftaucht. Das @ns_server-Konto kann zur Durchführung administrativer Aktionen verwendet werden.

Beim Hinzufügen von Clusterknoten kann ein Absturz des Cluster Managers (ns_server) dazu führen, dass der private Schlüssel in die Protokolldateien sickert. Jemand, der Zugriff auf die Protokolldateien hat, kann möglicherweise sichere Netzwerkverbindungen zum Cluster entschlüsseln. Wenn TLS verwendet wird, können die Anmeldedaten von Benutzern und Anwendungen, die sich beim Cluster anmelden, in Erfahrung gebracht werden.

Diagnostic endpoints such as diag/eval are restricted and can only be executed from the loopback network. However, the checks put in place to address CVE-2018-15728 do not correctly check if a “X-Forwarded-For” header contains a loopback address. This header can be manipulated to workaround the loopback restriction.

Die Schwachstelle ist gemäß RFC6890 auf Anfragen aus privaten Netzwerken und gemeinsamen Adressräumen beschränkt.

Um erfolgreich Anfragen an diese Endpunkte stellen zu können, benötigt ein Benutzer volle administrative Rechte, unabhängig vom verwendeten "X-Forwarded-For"-Header.

Ein Workaround für dieses Problem ist die Firewall für Anfragen an die Couchbase Server Knoten, die "X-Forwarded-For" Header enthalten, in Umgebungen, in denen sie nicht benötigt werden.

Anerkennungen: Mucahit Karadag / PRODAFT

The Index Service runs several network processes, Queryport, Dataport and Adminport. These are used to communicate with other Couchbase services. These processes take part in node to node communication, but do not communicate directly with SDK applications. In the affected versions of Couchbase Server, these network processes do not enforce authentication, so will process requests sent by unauthenticated users.

Der Queryport-Server kann einem nicht authentifizierten Benutzer die Ergebnisse der Indexsuche mitteilen.

Der Dataport-Server kann einem nicht authentifizierten Benutzer erlauben, indizierte Daten zu ändern.

Der Adminport-Server kann nicht authentifizierten Benutzern die Durchführung von DDL-Operationen (z. B. Index erstellen und löschen) gestatten.

Möglicher Workaround: Da diese Ports nur fÃ?r die interne Kommunikation von Couchbase Server verwendet werden, kann jede Verbindung/Kommunikation mit Nicht-Couchbase Server Knoten und Prozessen auf der Netzwerkebene deaktiviert werden.

Nicht authentifizierte Benutzer können einen REST-API-Aufruf an den Clustermanager senden. Jede HTTP-Anforderung, die der Clustermanager noch nicht gesehen hat, führt zur Erstellung einer neuen Metrik. Jede neue Metrik benötigt etwas Arbeitsspeicher und Festplattenplatz, was zu einem Speicher- und Festplattenplatzleck führen kann. Wenn genügend Ressourcen verbraucht werden, kann dies zum Ausfall eines Couchbase Server Knotens führen.

Wenn Sync Gateway so konfiguriert ist, dass es sich mit Couchbase Server über X.509 Client-Zertifikate authentifiziert, werden die Admin-Zugangsdaten, die dem Admin REST API zur Verfügung gestellt werden, ignoriert, was zu einer Privilegienerweiterung für nicht-authentifizierte Benutzer führt. Das Public REST API ist von diesem Problem nicht betroffen.

Umgehung: Ersetzen Sie die auf X.509-Zertifikaten basierende Authentifizierung durch die Authentifizierung mit Benutzername und Kennwort innerhalb der Bootstrap-Konfiguration.

Administratoren, die einen nicht vertrauenswürdigen Knoten zu einem Cluster hinzufügen, könnten versehentlich das Risiko eingehen, den Cluster-Cookie zu übertragen, der geheim bleiben sollte.

This can be addressed by deploying TLS encryption with Certificate Authority signed certificates. When using TLS, a trusted certificate is required to be present on the incoming node from Couchbase Server version 7.1.0.

Anerkennungen: Ofir Hamam, security researcher at EY Israel’s Advanced Security Center

Couchbase Operator 2.2.0 introduced an optimization that simplified log collection. When logs are collected, the support tool – “cbopinfo” – is used to collect Kubernetes resources necessary to gain insight into intended resource state, and current resource status. Prior to the affected versions, secret data was redacted, however this functionality was not retained in the new collection method. As a result, logs would have erroneously contained any passwords, tokens, and private keys within the scope of the log collection. By default, this scope will be limited to the Kubernetes namespace in which the Couchbase Server cluster under inspection resides. The exception to this is if the –system flag was specified, in which case all secrets on the platform will have been exposed. Logs are used to identify and remediate customer issues, and therefore only customers that have supplied logs, with the specified tool versions, are affected. Couchbase will ensure that all affected logs which have been provided are redacted.

Eine kritische Schwachstelle im Apache Log4J Dienstprogramm, das vom Couchbase Analytics Service verwendet wird, muss aktualisiert werden, um eine mögliche Remote Code Execution (RCE) und die Extraktion sensibler Daten zu verhindern.

Die Bucket Credentials, die von Sync Gateway zum Lesen und Schreiben von Daten in Couchbase Server verwendet werden, wurden unsicher in den Metadaten der Sync-Dokumente gespeichert, die in den Bucket geschrieben wurden. Benutzer mit Lesezugriff konnten diese Anmeldedaten verwenden, um Schreibzugriff zu erhalten. Dieses Problem betrifft keine Cluster, in denen Sync Gateway mit x.509 Client Zertifikaten authentifiziert ist. Dieses Problem betrifft auch keine Cluster, bei denen der gemeinsame Bucket-Zugriff auf Sync Gateway nicht aktiviert ist.

Remote Cluster XDCR credentials can get leaked in debug logs. Config key tombstone purging was added in Couchbase Server 7.0.0. This issue happens when a config key, which is being logged, has a tombstone purger time-stamp attached to it.

As part of a cbcollect_info log collection, Couchbase Server collects the process info of all the processes running in the Erlang VM. The issue occurs when the cluster manager forwards an HTTP request from the pluggable UI (query workbench, etc.) to the specific service. In the backtrace, the Basic Auth Header included in the HTTP request, has the “@” user credentials of the node processing the UI request. For the issue to occur, the process info has to be triggered at the exact moment when a pluggable UI request is being serviced by the cluster manager.

Ein Problem wurde in urllib3 vor 1.26.5 entdeckt, das von Couchbase Server Kommandozeilentools verwendet wird. Wenn diese Tools mit einer URL versorgt werden, die viele @-Zeichen in der authority-Komponente enthält, zeigt der reguläre Ausdruck authority ein katastrophales Backtracking, was zu einem Denial of Service des Kommandozeilen-Tools führt, wenn eine URL als Parameter übergeben oder über einen HTTP-Redirect weitergeleitet wird.

Im Kryptographie-Paket vor 3.3.2 für Python, wie es von den Couchbase Server Kommandozeilen-Tools verwendet wird, konnten bestimmte Sequenzen von Update-Aufrufen zur symmetrischen Verschlüsselung von Multi-GB-Werten zu einem Integer- und Pufferüberlauf in diesem Tool führen.

Dies kann zur NichtverfÃ?gbarkeit des Data Service fÃ?hren. Es wird empfohlen, eine Firewall zu verwenden, um nur den Netzwerkverkehr von Ihren Anwendungen mit dem Couchbase Server Cluster zuzulassen.

Dies kann zur NichtverfÃ?gbarkeit des Data Service fÃ?hren. Es wird empfohlen, eine Firewall zu verwenden, um nur den Netzwerkverkehr von Ihren Anwendungen mit dem Couchbase Server Cluster zuzulassen.

Wenn ein LDAP oder Active Directory Server, der für die externe Authentifizierung verwendet wird, so konfiguriert ist, dass er unsichere unauthentifizierte Bindungen zulässt, erlaubt der Couchbase Server Cluster Manager die Authentifizierung eines externen Benutzers mit einem leeren Passwort.

LDAP-Server können so konfiguriert werden, dass unauthentifizierte Bind-Anfragen mit einem resultCode von "unwillingToPerform" fehlschlagen, um dies zu verhindern.

Mehrere Sicherheitsprobleme in OpenSSL wurden behoben, von denen eines zum Absturz des TLS-Servers führen konnte, wenn eine bösartig gestaltete Renegotiation ClientHello-Nachricht von einem Client gesendet wurde.

Problem in Angular, wie es von der Couchbase UI verwendet wird, das einen Denial of Service durch Modifikation der merge() Funktion verursachen kann.

Common Table Expression N1QL-Abfragen beachteten die RBAC-Sicherheitskontrollen nicht korrekt und gaben Benutzern, die nicht über die erforderliche Berechtigung verfügten, Lesezugriff.

A rare condition that is triggered when Auditing is enabled for the View Engine and Node to Node encryption is enabled. If Couchbase Server is unable to check the remote hostname and port of an incoming internal command (view-merge request) over TLS, an error is logged which contains unredacted Base64 encoded authentication information for an internal user with administrator privileges, @ns_server.

A temporary workaround is to disable View Engine auditing or Node to Node Encryption until an upgrade can be performed.

Couchbase Server was logging the temporary session cookie for a user when audited events containing a session ID were logged to the audit log and debug.log. An attacker with access to logging data could use this to impersonate an authenticated user.

A security issue in the buger/jsonparser (JSON parser for Go) library allows an attacker to cause a denial of service (DOS) in the Couchbase Server Search Service.

The Apache HttpClient, as used by the Couchbase Server Analytics Service, in versions prior to version 4.5.13 and 5.0.3 can misinterpret malformed authority component in request URIs passed to the library as java.net.URI object and pick the wrong target host for request execution.

The Python urllib3 library which is used by the requests Python library that in turn is used by the Couchbase CLI has a security issue in urllib3 versions before 1.24.2. The library mishandles certain cases where the desired set of CA certificates is different from the OS store of CA certificates, which results in SSL connections succeeding in situations where a verification failure is the correct outcome.

When the Couchbase Server REST endpoint receives an unknown request, the request is logged as an error in the debug.log and info.log. The log includes unredacted Base64-encoded authentication information. The error message also is shown in the logs tab of the UI.

Take care to manually redact any logs exported from the cluster on versions affected by this issue. Upgrading the cluster will automatically prevent the @ns_server password appearing in future log entries.

Internal rest calls (/listCreateTokens, /listRebalanceTokens, /listMetadataTokens) are getting logged into the indexer.log with unredacted Base64 encoded authentication information for internal users with administrator privileges, @cbq-engine-cbauth and @index-cbauth.

Communication between Erlang nodes is done by exchanging a shared secret (aka “magic cookie”). There are cases where the magic cookie is included in the content of the logs. An attacker can use the cookie to attach to an Erlang node and run OS-level commands on the system running the Erlang node.

Anerkennungen: Ofir Hamam, security researcher at EY Israel’s Advanced Security Center

The Slowloris is a type of denial-of-service attack that allows an attacker to take down a target web endpoint by sending requests that periodically send additional headers and never terminate. Reducing the timeout on receipt of HTTP headers is an effective mitigation of this attack and this is the approach taken in the cluster management and views REST endpoints.

Die Benutzeroberfläche von Full Text Seach verwendet AngularJS 1.4.7, für das einige bekannte, schwerwiegende Sicherheitslücken bestehen. Diese AngularJS-Bibliotheken wurden auf eine neuere Version von Angular aktualisiert, in der diese Sicherheitslücken behoben wurden.

Java 6 (JDK 1.6 – the older SDK baseline version) did not support hostname verification out of the box. Once the SDK moved to Java 7 (Java 1.7) as the baseline, adding support was possible. This happened in jvm-core 1.7.11 (which translates to java-client 2.7.11). It is not possible in earlier versions to manually add it as a workaround, because the facilities to customize it accordingly are not exposed. Note that in order to not break applications that rely on the old behavior, hostname verification is still disabled by default, but can be enabled in the SDK configuration (CouchbaseEnvironment class).

Der REST-Endpunkt /settings, der vom Projektorprozess bereitgestellt wird, ist ein Endpunkt, den Administratoren für verschiedene Aufgaben wie die Aktualisierung der Konfiguration und die Erfassung von Leistungsprofilen verwenden können. Der Endpunkt war nicht authentifiziert und wurde aktualisiert, damit nur authentifizierte Benutzer auf diese administrativen APIs zugreifen können.

Anerkennungen: Apple-Sicherheitsteam

The Server REST API responds with a {{WWW-Authenticate}} header to unauthenticated requests which allows the user to authenticate via a user / password dialog in a web browser. The problem is that these credentials are cached by the browser which allows a hacker to use CSRF to attack a cluster in the event that an administrator has used their browser to check the results of a REST API request.
This behavior can be disabled by using couchbase-cli (couchbase-cli setting-security –set –disable-www-authenticate 1 -c localhost:8091 -u -p ). This is not disabled by default as it might break existing tools or scripts.

Anerkennungen: Apple-Sicherheitsteam

Some enterprises require that REST API endpoints include security-related headers in REST responses. Headers such as X-Frame-Options and X-Content-Type-Options are generally advisable, however, some information security professionals additionally look for X-Permitted-Cross-Domain-Policies and X-XSS-Protection, which are more generally applicable to HTML endpoints, to be included too. These headers are now included in responses from the Couchbase Server Views REST API (port 8092).

An attacker with access to the Sync Gateway’s public REST API was able to issue additional N1QL statements and extract sensitive data or call arbitrary N1QL functions through the parameters “startkey” and “endkey” on the “_all_docs” endpoint. By issuing nested queries with CPU-intensive operations they may have been able to cause increased resource usage and denial of service conditions. The _all_docs endpoint is not required for Couchbase Mobile replication, and external access to this REST endpoint has been blocked to mitigate this issue.

Anerkennungen: Denis Werner/HiSolutions AG

Die Systeminformationen, die Couchbase im Rahmen eines Fehlerberichts übermittelt wurden, enthielten die Benutzernamen aller derzeit im System angemeldeten Benutzer, auch wenn das Protokoll aus Datenschutzgründen geschwärzt war.

Dieses Problem wurde behoben, so dass die Benutzernamen in den Protokollen richtig gekennzeichnet und beim Schwärzen der Protokolle gelöscht werden.

Der Ereignisdienst stellt ein Systemdiagnoseprofil über einen HTTP-Endpunkt zur Verfügung, für den keine Anmeldeinformationen an einem Port erforderlich sind, der nur für den internen Datenverkehr vorgesehen ist. Dies wurde behoben und erfordert nun gültige Anmeldedaten für den Zugriff.

Couchbase Server exposed the ‘/diag/eval’ endpoint, which, by default, is available on TCP/8091 and/or TCP/18091. Authentifiziert users that have ‘Full Admin‘ role assigned could send arbitrary Erlang code to the ‘diag/eval’ endpoint of the API and the code would subsequently be executed in the underlying operating system with privileges of the user which was used to start Couchbase.

Anerkennungen: Apple-Sicherheitsteam

Der Cookie, der für die Kommunikation zwischen den Knoten verwendet wird, wurde nicht sicher generiert. Couchbase Server verwendet erlang:now(), um den PRNG zu seeden, was zu einem kleinen Suchraum für potentielle Zufallsseeds führt, die dann verwendet werden könnten, um den Cookie mit Brute-Force zu erzwingen und Code gegen ein entferntes System auszuführen.

Anerkennungen: Apple-Sicherheitsteam

Secondary indexing encodes the entries to be indexed using collatejson. When index entries contained certain characters like \t, , it caused a buffer overrun as the encoded string would be much larger than accounted for, causing the indexer service to crash and restart. This has been remedied now to ensure the buffer always grows as needed for any input.

Anerkennungen: D-Trust GmbH

Wenn ein ungültiges Remote-Cluster-Zertifikat als Teil der Referenzerstellung eingegeben wurde, analysierte und prüfte XDCR die Zertifikatsignatur nicht. Es akzeptierte dann das ungültige Zertifikat und versuchte, es für den Aufbau zukünftiger Verbindungen zum Remote-Cluster zu verwenden. Dieses Problem wurde behoben. XDCR prüft nun die Gültigkeit des Zertifikats gründlich und verhindert, dass eine Remote-Cluster-Referenz mit einem ungültigen Zertifikat erstellt wird.

In versions of Couchbase Server prior to 5.0, the bucket named “default” was a special bucket that allowed read and write access without authentication. As part of 5.0, the behavior of all buckets including “default” were changed to only allow access by authenticated users with sufficient authorization. However, users were allowed unauthenticated and unauthorized access to the “default” bucket if the properties of this bucket were edited. This has been fixed.