Alertas de Couchbase

La vulnerabilidad permite a los atacantes no autenticados con acceso a la red a través de múltiples protocolos para comprometer Oracle Java SE, Oracle GraalVM para JDK, Oracle GraalVM Enterprise Edition. Los ataques exitosos de esta vulnerabilidad pueden resultar en la actualización no autorizada, insertar o eliminar el acceso a algunos de Oracle Java SE, Oracle GraalVM para JDK, Oracle GraalVM Enterprise Edition datos accesibles.

Los cifrados DES y Triple DES, utilizados en los protocolos TLS, SSH e IPSec y en otros protocolos y productos, tienen un límite de cumpleaños de aproximadamente cuatro mil millones de bloques, lo que facilita a los atacantes remotos la obtención de datos en texto claro mediante un ataque de cumpleaños contra una sesión cifrada de larga duración, como demuestra una sesión HTTPS que utiliza Triple DES en modo CBC, también conocido como ataque “Sweet32”.

El encabezado Host de una solicitud HTTP entrante se copiaba ciegamente en el encabezado Location.

SDK negociará con SCRAM-SHA por defecto, lo que permite a un MITM negociar credenciales PLAIN.

El acceso a memoria fuera de los límites en V8 en Google Chrome anterior a 120.0.6099.224 permitía a un atacante remoto explotar potencialmente la corrupción de heap a través de una página HTML manipulada.

Se ha encontrado un fallo en el paquete python-cryptography. Este problema puede permitir a un atacante remoto descifrar mensajes capturados en servidores TLS que utilizan intercambios de claves RSA, lo que puede dar lugar a la exposición de datos confidenciales o sensibles.

El endpoint Query stats no implementaba la autenticación correcta, lo que permitía ver la información de las estadísticas.

Un usuario con el privilegio de Lector de Datos podría matar el Servicio de Datos enviando GetKeys solicitando un alto número de documentos, desencadenando un error Out-of-Memory (OOM).

Un usuario con el rol de Lector de Datos podría bloquear un hilo lector del Servicio de Datos durante un tiempo significativo solicitando un elevado número de claves y potencialmente bloquear todos los hilos lectores emitiendo el mismo comando en múltiples conexiones.

Los puertos de red 9119 y 9121 eran puertos de servicio RMI no autenticados alojados por el servicio Analytics, lo que podía dar lugar a una escalada de privilegios.

La otpCookie del clúster se filtró a los usuarios con el rol Full Admin en el punto final de la API serverGroups y tanto Cluster Admin como Full Admin en el punto final de la API engageCluster2. Esto podría utilizarse para elevar privilegios.

La llamada a cURL a través de SQL++ (N1QL) utilizando el servicio de consultas al punto final localhost's / diag / eval no se impedía completamente.

La protección cURL allowlist de SQL++ (N1QL) en el Servicio de Consulta, no era suficiente para prevenir el acceso a hosts restringidos.

No se impedía completamente la llamada a cURL mediante SQL++ (N1QL) a través del servicio de eventos al punto final diag eval del host local.

Un evento de registro provocó que las credenciales de administración internas de @ns_server se filtraran codificadas en diag.log.

La clave privada utilizada para la replicación entre centros de datos (XDCR) se filtró en goxdcr.log.

El fallo en curl hace que se desborde un buffer basado en heap en el handshake del proxy SOCKS5.

Las aplicaciones que utilizan las funciones DH_generate_key() para generar una clave DH X9.42 y las aplicaciones que utilizan DH_check_pub_key(), DH_check_pub_key_ex() o EVP_PKEY_public_check() para comprobar una clave DH X9.42 o parámetros DH X9.42 pueden experimentar grandes retrasos. Si la clave o los parámetros que se están comprobando se han obtenido de una fuente no fiable, puede producirse una denegación de servicio.

El protocolo HTTP/2 permite una denegación de servicio porque la cancelación de peticiones puede restablecer muchos flujos rápidamente.

El protocolo HTTP/2 permite una denegación de servicio porque la cancelación de peticiones puede restablecer muchos flujos rápidamente.

Una vulnerabilidad en OpenSSL relacionada con la verificación de cadenas de certificados X.509 que incluyen restricciones de políticas, que permitiría a los atacantes ser capaces de explotar esta vulnerabilidad mediante la creación de una cadena de certificado malicioso que desencadena un uso exponencial de los recursos computacionales, lo que lleva a un ataque de denegación de servicio (DoS) en los sistemas afectados.

Un flujo HTTP/2 malicioso podría causar un consumo excesivo de CPU en el decodificador HPACK, suficiente para causar una denegación de servicio a partir de un pequeño número de pequeñas peticiones.

La confusión tipográfica en V8 en Google Chrome anterior a 114.0.5735.110 permitía a un atacante remoto explotar potencialmente la corrupción de heap a través de una página HTML manipulada.

Actualice OpenJDK a la versión 11.0.19 para resolver numerosas CVE.

La interfaz de usuario de Windows de Couchbase Server permite a un atacante recorrer el sistema de archivos y mostrar los archivos a los que Couchbase tiene acceso. Esta vulnerabilidad no requiere autenticación. Se puede explotar simplemente añadiendo carpetas/archivos a la URL de la interfaz de administración de Couchbase Server.

Un usuario malintencionado puede colapsar fácilmente un servidor memcached conectándose al servidor y comenzando a enviar comandos de gran tamaño.

La clave privada se filtra a debug.log al añadir un nodo pre-7.0 al cluster 7.2.

En versiones anteriores a la 4.1.86.Final, puede producirse un error StackOverflowError al analizar un mensaje malformado debido a una recursión infinita.

El punto final de estadísticas FTS en / api / nsstats no implementa la autenticación correcta, por lo que es posible ver los nombres de los buckets de Couchbase Server, los nombres de los índices FTS y la configuración de los índices FTS sin autenticación. El contenido de los cubos y los índices no están expuestos.

Durante un fallo de unión de nodos, las credenciales no redactadas del usuario que realiza la solicitud REST pueden filtrarse en los archivos de registro.

Durante el arranque de un nodo servidor couchbase hay un breve periodo de tiempo en el que la cookie de seguridad se establece en “nocookie”, que carece de controles de acceso sobre el protocolo de distribución Erlang. Si un atacante se conecta a este protocolo durante este periodo, puede ejecutar código arbitrario remotamente en cualquier nodo del cluster en cualquier momento hasta que su conexión sea interrumpida. El código ejecutado se ejecutará con los mismos privilegios que el servidor Couchbase.

Se puede producir un agotamiento de recursos del servicio Couchbase Analytics debido a la falta de una comprobación para evitar el uso de matrices anidadas profundamente.

Un cuerpo de solicitud HTTP extremadamente grande (o sin límites) puede provocar que el servicio de copia de seguridad cause un error OOM (out-of-memory).

Se ha actualizado el motor Javascript v8 utilizado en el servicio de eventos del servidor Couchbase, el motor View, XDCR y las UDF N1QL, ya que existe una confusión de tipos en las versiones anteriores a la 99.0.4844.84 que permitía a un atacante remoto explotar potencialmente la corrupción de heap a través de una solicitud manipulada.

Un atacante puede utilizar archivos Parquet, como los utilizados opcionalmente por el Servicio de Análisis Couchbase, para causar una Denegación de Servicio (DoS) si los archivos maliciosos contienen valores inapropiados en la cabecera de la página del archivo (por ejemplo, valores negativos donde se espera un valor positivo). Esto se resuelve actualizando la librería Apache Parquet a una versión posterior.

Cuando se utiliza la característica tls/ssl en el servidor couchbase, es posible saltarse la autenticación del cliente en ciertas situaciones. Específicamente, cualquier aplicación que utilice el servidor ssl/tls/dtls, y la opción de certificación de cliente “{verify, verify_peer}” están afectadas por esta vulnerabilidad. Se han publicado correcciones en las pistas soportadas con los parches 23.3.4.15, 24.3.4.2, y 25.0.2 del runtime erlang/OTP. Sólo están afectados los clusters que utilizan autenticación basada en certificados.

Algunos fallos poco frecuentes pueden provocar que la clave privada del certificado generado se filtre a los archivos de registro.

Actualizado el lenguaje de programación Go y las librerías asociadas utilizadas en múltiples servicios de Couchbase Server a las versiones 1.17.9+ o 1.18.1+ para resolver numerosas CVEs.

jackson-databind, antes de 2.13.0 permite una excepción Java StackOverflow y denegación de servicio a través de una gran profundidad de objetos anidados. Esta biblioteca es utilizada por el servicio de análisis del servidor Couchbase.

Actualizado openssl para corregir un fallo en un componente de openssl, c_rehash. Este script escanea directorios y toma un valor hash de cada archivo .pem y .crt en el directorio. A continuación, crea enlaces simbólicos para cada uno de los archivos nombrados por el valor hash. Tiene un defecto que permite la inyección de comandos en el script.

En Couchbase Server 7.1.0 y posteriores es posible proporcionar una frase de contraseña a Couchbase Server para desbloquear una clave privada TLS encriptada. Esta frase de contraseña se filtró en los archivos de registro como una cadena codificada en Base64 cuando uno de los servicios Couchbase, que no sea el Servicio de Datos, se estaba iniciando. Esto afecta al Servicio de Índices, al Servicio de Consultas, al Servicio de Análisis, al Servicio de Copias de Seguridad y al Servicio de Eventos si se utiliza la función opcional de cifrado de claves TLS. Tenga en cuenta que un atacante necesita tener acceso a los registros, así como a la clave privada, para poder realizar ataques tales como realizar un ataque de intermediario o descifrar la comunicación de red. El uso de protecciones del sistema operativo para restringir el acceso a estos archivos puede ser una estrategia de mitigación eficaz.

Ramda 0.27.0 y anteriores permiten a los atacantes comprometer la integridad o disponibilidad de la aplicación mediante el suministro de un objeto crafteado (que contiene una propiedad propia “{}proto{}”) como argumento de la función, lo que se conoce como contaminación de prototipo. Los ataques de tipo contaminación de prototipo permiten eludir la validación de entrada y desencadenar la ejecución inesperada de javascript.

js-beautify tiene una dependencia con una vulnerabilidad conocida, Minimist. Minimist <=1.2.5 es vulnerable a la contaminación de prototipos a través del archivo index.js, función setKey() (líneas 69-95). Los ataques de contaminación de prototipos permiten eludir la validación de entrada y desencadenar la ejecución inesperada de javascript.

Al crear índices secundarios con el Servicio de Análisis de Couchbase Server, hay algunas validaciones en los campos indexados que se informan al usuario y se registran. El mensaje de error con código ASX0013 se utiliza en múltiples rutas para informar y registrar que hay un nombre de campo duplicado. Los nombres de campo de estos mensajes de validación registrados no se redactan. También los errores con el código ASX1079 tienen nombres de campo que no están redactados.

En caso de fallo al establecer la conexión TLS para un enlace remoto de Analytics configurado con cifrado=full, el tiempo de ejecución intentaría descubrir el puerto TLS (no predeterminado) intentando una conexión no TLS con el clúster remoto, utilizando SCRAM-SHA para la autenticación. Aunque las credenciales no se comparten cuando se utiliza SCRAM-SHA, no cabe esperar que el sistema rebaje el nivel de cifrado prescrito que especificaba una conexión TLS. Este mecanismo de fallback ha sido eliminado, y en un fallo para establecer inicialmente una conexión TLS, el CONNECT LINK simplemente fallará hasta que el puerto TLS correcto sea proporcionado como parte de la configuración del enlace.

Si el servicio de copia de seguridad no registra un mensaje de auditoría, filtra los datos del registro de auditoría en backup_service.log, que no se redacta.

El paquete golang.org/x/text/encoding/unicode que podría llevar al decodificador UTF-16 a entrar en un bucle infinito, haciendo que el programa se bloquee o se quede sin memoria.

El couchbase-cli genera un proceso erlang de muy corta duración que tiene la contraseña maestra como argumento de proceso, esto significa que si alguien obtiene la lista de procesos en ese momento tendrá la contraseña maestra. Esto sólo afecta a los clusters de Couchbase Server que utilizan la característica de Gestión de Secretos.

Si un rol RBAC contiene un permiso a nivel de colección (por ejemplo, query_select[src:_default:Collection1]) y el nombre de la colección se elimina y se vuelve a crear en el bucket, el permiso a nivel de colección seguirá siendo válido. Esto permite al usuario con el rol acceder a la colección aunque su permiso debería haberse eliminado cuando se eliminó la colección.

En las versiones afectadas de Couchbase Server, la configuración interna de XDCR puede ser modificada sin necesidad de autenticación.

En las versiones afectadas de Couchbase Server, la “cookie” Erlang se pasa a través de un argumento de línea de comandos a ‘erl’ cuando se utiliza el comando ‘server-eshell’; esto filtró la “cookie” a todos los que podían leer los argumentos del proceso ‘couchbase-cli’. La cookie debe permanecer secreta ya que puede ser utilizada para realizar tareas administrativas en el cluster.

Se ha encontrado un fallo en Python. Una respuesta HTTP manejada incorrectamente en el código cliente HTTP de Python puede permitir a un atacante remoto, que controle el servidor HTTP, hacer que el script cliente entre en un bucle infinito, consumiendo tiempo de CPU. Este problema sólo afecta a los clústeres que utilizan la función de vista previa para desarrolladores, Analytics UDFs.

Un fallo al cargar un cubo de muestras (beer-sample, gamesim-sample, travel-sample) puede filtrar la contraseña del usuario administrador interno @ns_server en los registros (debug.log, error.log, info.log, reports.log). La cuenta @ns_server puede utilizarse para realizar acciones administrativas.

Al realizar adiciones de nodos de clúster, un fallo del Cluster Manager (ns_server) puede provocar que la clave privada se filtre en los archivos de registro. Alguien que tenga acceso a los archivos de registro puede ser capaz de descifrar las conexiones de red seguras al clúster. Si se utiliza TLS, pueden obtenerse las credenciales de los usuarios y las aplicaciones que inician sesión en el clúster.

Los endpoints de diagnóstico como diag/eval están restringidos y solo pueden ejecutarse desde la red loopback. Sin embargo, las comprobaciones establecidas para abordar CVE-2018-15728 no comprueban correctamente si un encabezado "X-Forwarded-For" contiene una dirección de loopback. Esta cabecera puede manipularse para eludir la restricción de loopback.

La vulnerabilidad se limita a las solicitudes originadas en la red privada y los espacios de direcciones compartidos, según RFC6890.

Para poder enviar correctamente peticiones a estos puntos finales, un usuario necesita privilegios administrativos completos, independientemente de la cabecera "X-Forwarded-For" utilizada.

Una solución para este problema es cortar las peticiones a los nodos del Servidor Couchbase que contengan cabeceras "X-Forwarded-For" en entornos donde no sean necesarias.

Reconocimiento: Mucahit Karadag / PRODAFT

El Servicio de Índice ejecuta varios procesos de red, Queryport, Dataport y Adminport. Se utilizan para comunicarse con otros servicios de Couchbase. Estos procesos participan en la comunicación nodo a nodo, pero no se comunican directamente con las aplicaciones SDK. En las versiones afectadas de Couchbase Server, estos procesos de red no aplican autenticación, por lo que procesarán peticiones enviadas por usuarios no autenticados.

El servidor Queryport puede responder a un usuario no autenticado con los resultados del escaneo de índices.

El servidor Dataport puede permitir que un usuario no autenticado modifique los datos indexados.

El servidor Adminport puede permitir a usuarios no autenticados realizar operaciones DDL (como crear y eliminar índices).

Posible solución: Como estos puertos se utilizan sólo para la comunicación interna por Couchbase Server, cualquier conexión/comunicación con nodos y procesos que no sean de Couchbase Server se puede deshabilitar en la capa de red.

Los usuarios no autenticados pueden realizar una llamada REST API al gestor de clústeres. Cada solicitud http que no haya sido vista antes por el gestor de clústeres conduce a la creación de una nueva métrica. Cada nueva métrica ocupa algo de memoria y algo de espacio en disco, lo que puede crear una fuga de memoria y una fuga de espacio en disco. Si se usan suficientes recursos, puede causar que un nodo del Servidor Couchbase falle.

Cuando Sync Gateway está configurado para autenticarse con Couchbase Server mediante certificados de cliente X.509, se ignoran las credenciales de administrador proporcionadas a la API REST de administración, lo que da lugar a una escalada de privilegios para usuarios no autenticados. Este problema no afecta a la API REST pública.

Los administradores que añadan un nodo no fiable a un clúster podrían arriesgarse inadvertidamente a transmitir la cookie del clúster, que debería permanecer secreta.

Esto puede solucionarse desplegando encriptación TLS con certificados firmados por la Autoridad de Certificación. Cuando se utiliza TLS, se requiere un certificado de confianza para estar presente en el nodo de entrada de Couchbase Server versión 7.1.0.

Reconocimiento: Ofir Hamam, investigador de seguridad del Centro de Seguridad Avanzada de EY Israel

Couchbase Operator 2.2.0 introdujo una optimización que simplificó la recolección de logs. Cuando se recopilan los registros, la herramienta de soporte - “cbopinfo” - se utiliza para recopilar los recursos Kubernetes necesarios para obtener información sobre el estado de los recursos previstos, y el estado actual de los recursos. Antes de las versiones afectadas, los datos secretos se redactaban, sin embargo, esta funcionalidad no se conservó en el nuevo método de recopilación. Como resultado, los registros podrían contener erróneamente contraseñas, tokens y claves privadas dentro del ámbito de la recopilación de registros. Por defecto, este ámbito se limitará al espacio de nombres de Kubernetes en el que reside el clúster de Couchbase Server bajo inspección. La excepción a esto es si la bandera -system fue especificada, en cuyo caso todos los secretos en la plataforma habrán sido expuestos. Los registros se utilizan para identificar y remediar los problemas de los clientes, y por lo tanto sólo los clientes que han proporcionado los registros, con las versiones de la herramienta especificada, se verán afectados. Couchbase se asegurará de que todos los registros afectados que hayan sido proporcionados sean redactados.

Un problema crítico en la utilidad Apache Log4J utilizada por el servicio Couchbase Analytics requiere actualización para evitar la posible ejecución remota de código (RCE) y la extracción de datos confidenciales.

Las credenciales del bucket utilizadas por Sync Gateway para leer y escribir datos en Couchbase Server se almacenaban de forma insegura en los metadatos de los documentos de sincronización escritos en el bucket. Los usuarios con acceso de lectura podían utilizar estas credenciales para obtener acceso de escritura. Este problema no afecta a los clústeres en los que Sync Gateway se autentica con certificados de cliente x.509. Este problema tampoco afecta a los clústeres en los que el acceso a buckets compartidos no está habilitado en Sync Gateway.

Las credenciales XDCR del Cluster Remoto pueden filtrarse en los registros de depuración. Config key tombstone purging fue añadido en Couchbase Server 7.0.0. Este problema ocurre cuando una config key, que está siendo registrada, tiene una tombstone purger time-stamp adjunta a ella.

Como parte de una colección de logs cbcollect_info, Couchbase Server recoge la información de proceso de todos los procesos que se ejecutan en la VM Erlang. El problema se produce cuando el gestor de cluster reenvía una petición HTTP desde la interfaz de usuario pluggable (query workbench, etc.) al servicio específico. En el backtrace, el Basic Auth Header incluido en la petición HTTP, tiene las credenciales de usuario “@” del nodo que procesa la petición de UI. Para que se produzca el problema, la información del proceso debe activarse en el momento exacto en que el gestor de clúster atiende una solicitud de interfaz de usuario conectable.

Se ha descubierto un problema en urllib3 anterior a 1.26.5, utilizado por las herramientas de línea de comandos de Couchbase Server. Cuando a estas herramientas se les proporciona una URL que contiene muchos caracteres @ en el componente de autoridad, la expresión regular de autoridad muestra un retroceso catastrófico, causando una denegación de servicio de la herramienta de línea de comandos si se pasa una URL como parámetro o se redirige a través de una redirección HTTP.

En el paquete de criptografía anterior a la versión 3.3.2 para Python, utilizado por las herramientas de línea de comandos de Couchbase Server, ciertas secuencias de llamadas de actualización para cifrar simétricamente valores de varios GB podían provocar un desbordamiento de enteros y un desbordamiento de búfer en dicha herramienta.

Esto puede causar indisponibilidad del Servicio de Datos. Se recomienda utilizar un cortafuegos para permitir únicamente que el tráfico de red de tus aplicaciones se comunique con el clúster de Couchbase Server.

Esto puede causar indisponibilidad del Servicio de Datos. Se recomienda utilizar un cortafuegos para permitir únicamente que el tráfico de red de tus aplicaciones se comunique con el clúster de Couchbase Server.

Si un servidor LDAP o Active Directory, utilizado para la autenticación externa, está configurado para permitir enlaces inseguros no autenticados, Couchbase Server Cluster Manager permitirá que un usuario externo sea autenticado con una contraseña vacía.

Los servidores LDAP pueden configurarse para que fallen las peticiones Unauthenticated Bind con un resultCode de "unwillingToPerform" para evitar que esto ocurra.

Se han resuelto varios problemas de seguridad en OpenSSL, uno de los cuales podía provocar el bloqueo del servidor TLS si un cliente enviaba un mensaje ClientHello de renegociación malintencionado.

Problema en Angular tal y como lo utiliza la interfaz de usuario de Couchbase que puede provocar una denegación de servicio modificando la función merge().

Las consultas N1QL de Expresión de Tabla Común no respetaban correctamente los controles de seguridad RBAC, dando acceso de lectura a usuarios que no tenían la autorización requerida.

La interfaz de usuario de Full Text Seach utiliza AngularJS 1.4.7 para la que existen algunas vulnerabilidades de seguridad conocidas de alta gravedad. Estas bibliotecas AngularJS se han actualizado a una versión más reciente de Angular que ha solucionado estas vulnerabilidades.

Java 6 (JDK 1.6, la versión de referencia del SDK más antigua) no admitía la verificación de nombres de host de forma predeterminada. Una vez que el SDK pasó a Java 7 (Java 1.7) como versión de referencia, fue posible añadir soporte. Esto ocurrió en jvm-core 1.7.11 (que se traduce en java-client 2.7.11). No es posible en versiones anteriores añadirlo manualmente como solución, porque las facilidades para personalizarlo en consecuencia no están expuestas. Ten en cuenta que para no romper las aplicaciones que dependen del comportamiento antiguo, la verificación del nombre de host sigue desactivada por defecto, pero puede activarse en la configuración del SDK (clase CouchbaseEnvironment).

El punto final /settings REST expuesto por el proceso proyector es un punto final que los administradores pueden utilizar para diversas tareas, como actualizar la configuración y recopilar perfiles de rendimiento. El punto final no estaba autenticado y se ha actualizado para que solo los usuarios autenticados puedan acceder a estas API administrativas.

Reconocimiento: Equipo de seguridad de Apple

La API REST del servidor responde con un encabezado {{WWW-Authenticate}} a las solicitudes no autenticadas que permite al usuario autenticarse a través de un cuadro de diálogo de usuario / contraseña en un navegador web. El problema es que estas credenciales son almacenadas en caché por el navegador, lo que permite a un hacker utilizar CSRF para atacar un clúster en el caso de que un administrador haya utilizado su navegador para comprobar los resultados de una solicitud de API REST. Este comportamiento puede desactivarse utilizando couchbase-cli (couchbase-cli setting-security -set -disable-www-authenticate 1 -c localhost:8091 -u -p ). Esto no está desactivado por defecto, ya que podría romper las herramientas o scripts existentes.

Reconocimiento: Equipo de seguridad de Apple

Algunas empresas exigen que los puntos finales de la API REST incluyan cabeceras relacionadas con la seguridad en las respuestas REST. Cabeceras como X-Frame-Options y X-Content-Type-Options son generalmente recomendables, sin embargo algunos profesionales de la seguridad de la información adicionalmente buscan X-Permitted-Cross-Domain-Policies y X-XSS-Protection, que son más generalmente aplicables a HTML endpoint, para ser incluidos también. Estas cabeceras se incluyen ahora en las respuestas de la API REST de Couchbase Server Views (puerto 8092).

Un atacante con acceso a la API REST pública de Sync Gateway pudo emitir sentencias N1QL adicionales y extraer datos confidenciales o llamar a funciones N1QL arbitrarias a través de los parámetros “startkey” y “endkey” en el endpoint “_all_docs”. Mediante la emisión de consultas anidadas con operaciones de uso intensivo de CPU pueden haber sido capaces de causar un mayor uso de recursos y condiciones de denegación de servicio. El endpoint _all_docs no es necesario para la replicación de Couchbase Mobile, y el acceso externo a este endpoint REST ha sido bloqueado para mitigar este problema.

Reconocimiento: Denis Werner/HiSolutions AG

El servicio de eventos expone un perfil de diagnóstico del sistema a través de un punto final HTTP que no requiere credenciales en un puerto destinado únicamente al tráfico interno. Esto se ha remediado y ahora se requieren credenciales válidas para acceder.

La información del sistema enviada a Couchbase como parte de un informe de error incluía los nombres de usuario de todos los usuarios que habían iniciado sesión en el sistema, incluso si el registro se había redactado en aras de la privacidad.

Esto se ha corregido para que los nombres de usuario se etiqueten correctamente en los registros y se eliminen cuando se redacten los registros.

Couchbase Server expone el endpoint ‘/diag/eval’, que, por defecto, está disponible en TCP/8091 y/o TCP/18091. Autentificado usuarios que tienen ‘Administración completa‘El rol ‘diag/eval’ asignado podría enviar código Erlang arbitrario al endpoint 'diag/eval' de la API y el código se ejecutaría posteriormente en el sistema operativo subyacente con privilegios del usuario que se utilizó para iniciar Couchbase.

Reconocimiento: Equipo de seguridad de Apple

La cookie utilizada para la comunicación intra-nodo no se generó de forma segura. Couchbase Server utiliza erlang:now() para sembrar el PRNG, lo que resulta en un pequeño espacio de búsqueda de semillas aleatorias potenciales que podrían ser utilizadas para forzar la cookie y ejecutar código contra un sistema remoto.

Reconocimiento: Equipo de seguridad de Apple

La indexación secundaria codifica las entradas a indexar utilizando collatejson. Cuando las entradas del índice contenían ciertos caracteres como \t, , se producía un desbordamiento del búfer, ya que la cadena codificada era mucho mayor de lo previsto, lo que provocaba que el servicio de indexación se bloqueara y reiniciara. Esto se ha remediado ahora para asegurar que el búfer siempre crece según sea necesario para cualquier entrada.

Reconocimiento: D-Trust GmbH

Cuando se introducía un certificado de clúster remoto no válido como parte de la creación de referencias, XDCR no analizaba ni comprobaba la firma del certificado. A continuación, aceptaba el certificado no válido e intentaba utilizarlo para establecer futuras conexiones con el clúster remoto. Esto se ha solucionado. XDCR comprueba ahora la validez del certificado de forma exhaustiva y evita que se cree una referencia de clúster remoto con un certificado no válido.

En versiones de Couchbase Server anteriores a la 5.0, el bucket llamado “default” era un bucket especial que permitía acceso de lectura y escritura sin autenticación. Como parte de la versión 5.0, el comportamiento de todos los cubos, incluido “default”, se modificó para permitir el acceso únicamente a usuarios autenticados con autorización suficiente. Sin embargo, los usuarios podían acceder sin autenticación y sin autorización al cubo “por defecto” si se editaban las propiedades de este cubo. Esto se ha corregido.