Alertas de Couchbase

La vulnerabilidad permite a los atacantes no autenticados con acceso a la red a través de múltiples protocolos para comprometer Oracle Java SE, Oracle GraalVM para JDK, Oracle GraalVM Enterprise Edition. Los ataques exitosos de esta vulnerabilidad pueden resultar en la actualización no autorizada, insertar o eliminar el acceso a algunos de Oracle Java SE, Oracle GraalVM para JDK, Oracle GraalVM Enterprise Edition datos accesibles.

The DES and Triple DES ciphers, as used in the TLS, SSH, and IPSec protocols and other protocols and products, have a birthday bound of approximately four billion blocks, which makes it easier for remote attackers to obtain cleartext data via a birthday attack against a long-duration encrypted session, as demonstrated by an HTTPS session using Triple DES in CBC mode, aka a “Sweet32” attack.

El encabezado Host de una solicitud HTTP entrante se copiaba ciegamente en el encabezado Location.

SDK will negotiate with SCRAM-SHA by default which allows for a MITM to negotiate for PLAIN credentials

El acceso a memoria fuera de los límites en V8 en Google Chrome anterior a 120.0.6099.224 permitía a un atacante remoto explotar potencialmente la corrupción de heap a través de una página HTML manipulada.

Se ha encontrado un fallo en el paquete python-cryptography. Este problema puede permitir a un atacante remoto descifrar mensajes capturados en servidores TLS que utilizan intercambios de claves RSA, lo que puede dar lugar a la exposición de datos confidenciales o sensibles.

The Query stats endpoint did not implement correct authentication, making it possible to view the stats information

Un usuario con el privilegio de Lector de Datos podría matar el Servicio de Datos enviando GetKeys solicitando un alto número de documentos, desencadenando un error Out-of-Memory (OOM).

A user with Data Reader role could lock a Data Service reader thread for a significant time by requesting a high number of keys and potentially lock up all reader threads by issuing the same command on multiple connections

Los puertos de red 9119 y 9121 eran puertos de servicio RMI no autenticados alojados por el servicio Analytics, lo que podía dar lugar a una escalada de privilegios.

The cluster’s otpCookie was leaked to users with Full Admin role on API endpoint serverGroups and both Cluster Admin and Full Admin on API endpoint engageCluster2. This could be used to elevate privileges

Calling cURL via SQL++ (N1QL) using the Query Service to the localhost’s /diag/eval endpoint wasn’t fully prevented.

La protección cURL allowlist de SQL++ (N1QL) en el Servicio de Consulta, no era suficiente para prevenir el acceso a hosts restringidos.

Calling cURL via SQL++ (N1QL) via the Eventing Service to the local host’s /diag/eval endpoint wasn’t fully prevented.

Un evento de registro provocó que las credenciales de administración internas de @ns_server se filtraran codificadas en diag.log.

The private key used for Cross Datacenter Replication (XDCR) was leaked in the goxdcr.log

El fallo en curl hace que se desborde un buffer basado en heap en el handshake del proxy SOCKS5.

Las aplicaciones que utilizan las funciones DH_generate_key() para generar una clave DH X9.42 y las aplicaciones que utilizan DH_check_pub_key(), DH_check_pub_key_ex() o EVP_PKEY_public_check() para comprobar una clave DH X9.42 o parámetros DH X9.42 pueden experimentar grandes retrasos. Si la clave o los parámetros que se están comprobando se han obtenido de una fuente no fiable, puede producirse una denegación de servicio.

El protocolo HTTP/2 permite una denegación de servicio porque la cancelación de peticiones puede restablecer muchos flujos rápidamente.

El protocolo HTTP/2 permite una denegación de servicio porque la cancelación de peticiones puede restablecer muchos flujos rápidamente.

Una vulnerabilidad en OpenSSL relacionada con la verificación de cadenas de certificados X.509 que incluyen restricciones de políticas, que permitiría a los atacantes ser capaces de explotar esta vulnerabilidad mediante la creación de una cadena de certificado malicioso que desencadena un uso exponencial de los recursos computacionales, lo que lleva a un ataque de denegación de servicio (DoS) en los sistemas afectados.

Un flujo HTTP/2 malicioso podría causar un consumo excesivo de CPU en el decodificador HPACK, suficiente para causar una denegación de servicio a partir de un pequeño número de pequeñas peticiones.

La confusión tipográfica en V8 en Google Chrome anterior a 114.0.5735.110 permitía a un atacante remoto explotar potencialmente la corrupción de heap a través de una página HTML manipulada.

Actualice OpenJDK a la versión 11.0.19 para resolver numerosas CVE.

La interfaz de usuario de Windows de Couchbase Server permite a un atacante recorrer el sistema de archivos y mostrar los archivos a los que Couchbase tiene acceso. Esta vulnerabilidad no requiere autenticación. Se puede explotar simplemente añadiendo carpetas/archivos a la URL de la interfaz de administración de Couchbase Server.

Un usuario malintencionado puede colapsar fácilmente un servidor memcached conectándose al servidor y comenzando a enviar comandos de gran tamaño.

La clave privada se filtra a debug.log al añadir un nodo pre-7.0 al cluster 7.2.

En versiones anteriores a la 4.1.86.Final, puede producirse un error StackOverflowError al analizar un mensaje malformado debido a una recursión infinita.

El endpoint FTS stats en /api/nsstats no implementa la autenticación correcta, por lo que es posible ver los nombres de los buckets de Couchbase Server, los nombres de los índices FTS y la configuración de los índices FTS sin autenticación. Los contenidos de los buckets e índices no están expuestos.

Durante un fallo de unión de nodos, las credenciales no redactadas del usuario que realiza la solicitud REST pueden filtrarse en los archivos de registro.

Durante el arranque de un nodo servidor couchbase hay un breve periodo de tiempo en el que la cookie de seguridad se establece en “nocookie”, que carece de controles de acceso sobre el protocolo de distribución Erlang. Si un atacante se conecta a este protocolo durante este periodo, puede ejecutar código arbitrario remotamente en cualquier nodo del cluster en cualquier momento hasta que su conexión sea interrumpida. El código ejecutado se ejecutará con los mismos privilegios que el servidor Couchbase.

Se puede producir un agotamiento de recursos del servicio Couchbase Analytics debido a la falta de una comprobación para evitar el uso de matrices anidadas profundamente.

Un cuerpo de solicitud HTTP extremadamente grande (o sin límites) puede provocar que el servicio de copia de seguridad cause un error OOM (out-of-memory).

Se ha actualizado el motor Javascript v8 utilizado en el servicio de eventos del servidor Couchbase, el motor View, XDCR y las UDF N1QL, ya que existe una confusión de tipos en las versiones anteriores a la 99.0.4844.84 que permitía a un atacante remoto explotar potencialmente la corrupción de heap a través de una solicitud manipulada.

Un atacante puede utilizar archivos Parquet, como los utilizados opcionalmente por el Servicio de Análisis Couchbase, para causar una Denegación de Servicio (DoS) si los archivos maliciosos contienen valores inapropiados en la cabecera de la página del archivo (por ejemplo, valores negativos donde se espera un valor positivo). Esto se resuelve actualizando la librería Apache Parquet a una versión posterior.

Cuando se utiliza la característica tls/ssl en el servidor couchbase, es posible saltarse la autenticación del cliente en ciertas situaciones. Específicamente, cualquier aplicación que utilice el servidor ssl/tls/dtls, y la opción de certificación de cliente “{verify, verify_peer}” están afectadas por esta vulnerabilidad. Se han publicado correcciones en las pistas soportadas con los parches 23.3.4.15, 24.3.4.2, y 25.0.2 del runtime erlang/OTP. Sólo están afectados los clusters que utilizan autenticación basada en certificados.

Algunos fallos poco frecuentes pueden provocar que la clave privada del certificado generado se filtre a los archivos de registro.

Actualizado el lenguaje de programación Go y las librerías asociadas utilizadas en múltiples servicios de Couchbase Server a las versiones 1.17.9+ o 1.18.1+ para resolver numerosas CVEs.

jackson-databind, before 2.13.0 allows a Java StackOverflow exception and denial of service via a large depth of nested objects. This library is used by the Couchbase Server Analytics Service.

Actualizado openssl para corregir un fallo en un componente de openssl, c_rehash. Este script escanea directorios y toma un valor hash de cada archivo .pem y .crt en el directorio. A continuación, crea enlaces simbólicos para cada uno de los archivos nombrados por el valor hash. Tiene un defecto que permite la inyección de comandos en el script.

In Couchbase Server 7.1.0 and later it’s possible to provide a passphrase to Couchbase Server to unlock an encrypted TLS private key. This passphrase was found to be leaked in the log files as a Base64 encoded string when one of the Couchbase services, other than the Data Service, was starting up. This affects the Index Service, Query Service, Analytics Service, Backup Service and Eventing Service if the optional encrypted TLS keys feature is used. Note, an attacker needs to have access to the logs as well as the private key to be able to perform attacks such as performing a man in the middle attack or decrypting network communication. Using operating system protections to restrict access to these files can be an effective mitigation strategy.

Ramda 0.27.0 and earlier allows attackers to compromise integrity or availability of application via supplying a crafted object (that contains an own property “{}proto{}”) as an argument to the function, known as prototype pollution. Prototype pollution type attacks allow bypassing input validation and triggering unexpected javascript execution.

js-beautify has a dependency with a known vulnerability, Minimist. Minimist <=1.2.5 is vulnerable to Prototype Pollution via file index.js, function setKey() (lines 69-95). Prototype pollution attacks allow bypassing input validation and triggering unexpected javascript execution.

Al crear índices secundarios con el Servicio de Análisis de Couchbase Server, hay algunas validaciones en los campos indexados que se informan al usuario y se registran. El mensaje de error con código ASX0013 se utiliza en múltiples rutas para informar y registrar que hay un nombre de campo duplicado. Los nombres de campo de estos mensajes de validación registrados no se redactan. También los errores con el código ASX1079 tienen nombres de campo que no están redactados.

En caso de fallo al establecer la conexión TLS para un enlace remoto de Analytics configurado con cifrado=full, el tiempo de ejecución intentaría descubrir el puerto TLS (no predeterminado) intentando una conexión no TLS con el clúster remoto, utilizando SCRAM-SHA para la autenticación. Aunque las credenciales no se comparten cuando se utiliza SCRAM-SHA, no cabe esperar que el sistema rebaje el nivel de cifrado prescrito que especificaba una conexión TLS. Este mecanismo de fallback ha sido eliminado, y en un fallo para establecer inicialmente una conexión TLS, el CONNECT LINK simplemente fallará hasta que el puerto TLS correcto sea proporcionado como parte de la configuración del enlace.

Si el servicio de copia de seguridad no registra un mensaje de auditoría, filtra los datos del registro de auditoría en backup_service.log, que no se redacta.

El paquete golang.org/x/text/encoding/unicode que podría llevar al decodificador UTF-16 a entrar en un bucle infinito, haciendo que el programa se bloquee o se quede sin memoria.

El couchbase-cli genera un proceso erlang de muy corta duración que tiene la contraseña maestra como argumento de proceso, esto significa que si alguien obtiene la lista de procesos en ese momento tendrá la contraseña maestra. Esto sólo afecta a los clusters de Couchbase Server que utilizan la característica de Gestión de Secretos.

Si un rol RBAC contiene un permiso a nivel de colección (por ejemplo, query_select[src:_default:Collection1]) y el nombre de la colección se elimina y se vuelve a crear en el bucket, el permiso a nivel de colección seguirá siendo válido. Esto permite al usuario con el rol acceder a la colección aunque su permiso debería haberse eliminado cuando se eliminó la colección.

En las versiones afectadas de Couchbase Server, la configuración interna de XDCR puede ser modificada sin necesidad de autenticación.

En las versiones afectadas de Couchbase Server, la “cookie” Erlang se pasa a través de un argumento de línea de comandos a ‘erl’ cuando se utiliza el comando ‘server-eshell’; esto filtró la “cookie” a todos los que podían leer los argumentos del proceso ‘couchbase-cli’. La cookie debe permanecer secreta ya que puede ser utilizada para realizar tareas administrativas en el cluster.

Se ha encontrado un fallo en Python. Una respuesta HTTP manejada incorrectamente en el código cliente HTTP de Python puede permitir a un atacante remoto, que controle el servidor HTTP, hacer que el script cliente entre en un bucle infinito, consumiendo tiempo de CPU. Este problema sólo afecta a los clústeres que utilizan la función de vista previa para desarrolladores, Analytics UDFs.

Un fallo al cargar un cubo de muestras (beer-sample, gamesim-sample, travel-sample) puede filtrar la contraseña del usuario administrador interno @ns_server en los registros (debug.log, error.log, info.log, reports.log). La cuenta @ns_server puede utilizarse para realizar acciones administrativas.

Al realizar adiciones de nodos de clúster, un fallo del Cluster Manager (ns_server) puede provocar que la clave privada se filtre en los archivos de registro. Alguien que tenga acceso a los archivos de registro puede ser capaz de descifrar las conexiones de red seguras al clúster. Si se utiliza TLS, pueden obtenerse las credenciales de los usuarios y las aplicaciones que inician sesión en el clúster.

Diagnostic endpoints such as diag/eval are restricted and can only be executed from the loopback network. However, the checks put in place to address CVE-2018-15728 do not correctly check if a “X-Forwarded-For” header contains a loopback address. This header can be manipulated to workaround the loopback restriction.

La vulnerabilidad se limita a las solicitudes originadas en la red privada y los espacios de direcciones compartidos, según RFC6890.

Para poder enviar correctamente peticiones a estos puntos finales, un usuario necesita privilegios administrativos completos, independientemente de la cabecera "X-Forwarded-For" utilizada.

Una solución para este problema es cortar las peticiones a los nodos del Servidor Couchbase que contengan cabeceras "X-Forwarded-For" en entornos donde no sean necesarias.

Reconocimiento: Mucahit Karadag / PRODAFT

The Index Service runs several network processes, Queryport, Dataport and Adminport. These are used to communicate with other Couchbase services. These processes take part in node to node communication, but do not communicate directly with SDK applications. In the affected versions of Couchbase Server, these network processes do not enforce authentication, so will process requests sent by unauthenticated users.

El servidor Queryport puede responder a un usuario no autenticado con los resultados del escaneo de índices.

El servidor Dataport puede permitir que un usuario no autenticado modifique los datos indexados.

El servidor Adminport puede permitir a usuarios no autenticados realizar operaciones DDL (como crear y eliminar índices).

Posible solución: Como estos puertos se utilizan sólo para la comunicación interna por Couchbase Server, cualquier conexión/comunicación con nodos y procesos que no sean de Couchbase Server se puede deshabilitar en la capa de red.

Los usuarios no autenticados pueden realizar una llamada REST API al gestor de clústeres. Cada solicitud http que no haya sido vista antes por el gestor de clústeres conduce a la creación de una nueva métrica. Cada nueva métrica ocupa algo de memoria y algo de espacio en disco, lo que puede crear una fuga de memoria y una fuga de espacio en disco. Si se usan suficientes recursos, puede causar que un nodo del Servidor Couchbase falle.

Cuando Sync Gateway está configurado para autenticarse con Couchbase Server mediante certificados de cliente X.509, se ignoran las credenciales de administrador proporcionadas a la API REST de administración, lo que da lugar a una escalada de privilegios para usuarios no autenticados. Este problema no afecta a la API REST pública.

Solución: Sustituya la autenticación basada en certificados X.509 por la autenticación mediante nombre de usuario y contraseña en la configuración de arranque.

Los administradores que añadan un nodo no fiable a un clúster podrían arriesgarse inadvertidamente a transmitir la cookie del clúster, que debería permanecer secreta.

This can be addressed by deploying TLS encryption with Certificate Authority signed certificates. When using TLS, a trusted certificate is required to be present on the incoming node from Couchbase Server version 7.1.0.

Reconocimiento: Ofir Hamam, security researcher at EY Israel’s Advanced Security Center

Couchbase Operator 2.2.0 introduced an optimization that simplified log collection. When logs are collected, the support tool – “cbopinfo” – is used to collect Kubernetes resources necessary to gain insight into intended resource state, and current resource status. Prior to the affected versions, secret data was redacted, however this functionality was not retained in the new collection method. As a result, logs would have erroneously contained any passwords, tokens, and private keys within the scope of the log collection. By default, this scope will be limited to the Kubernetes namespace in which the Couchbase Server cluster under inspection resides. The exception to this is if the –system flag was specified, in which case all secrets on the platform will have been exposed. Logs are used to identify and remediate customer issues, and therefore only customers that have supplied logs, with the specified tool versions, are affected. Couchbase will ensure that all affected logs which have been provided are redacted.

Un problema crítico en la utilidad Apache Log4J utilizada por el servicio Couchbase Analytics requiere actualización para evitar la posible ejecución remota de código (RCE) y la extracción de datos confidenciales.

Las credenciales del bucket utilizadas por Sync Gateway para leer y escribir datos en Couchbase Server se almacenaban de forma insegura en los metadatos de los documentos de sincronización escritos en el bucket. Los usuarios con acceso de lectura podían utilizar estas credenciales para obtener acceso de escritura. Este problema no afecta a los clústeres en los que Sync Gateway se autentica con certificados de cliente x.509. Este problema tampoco afecta a los clústeres en los que el acceso a buckets compartidos no está habilitado en Sync Gateway.

Remote Cluster XDCR credentials can get leaked in debug logs. Config key tombstone purging was added in Couchbase Server 7.0.0. This issue happens when a config key, which is being logged, has a tombstone purger time-stamp attached to it.

As part of a cbcollect_info log collection, Couchbase Server collects the process info of all the processes running in the Erlang VM. The issue occurs when the cluster manager forwards an HTTP request from the pluggable UI (query workbench, etc.) to the specific service. In the backtrace, the Basic Auth Header included in the HTTP request, has the “@” user credentials of the node processing the UI request. For the issue to occur, the process info has to be triggered at the exact moment when a pluggable UI request is being serviced by the cluster manager.

Se ha descubierto un problema en urllib3 anterior a 1.26.5, utilizado por las herramientas de línea de comandos de Couchbase Server. Cuando a estas herramientas se les proporciona una URL que contiene muchos caracteres @ en el componente de autoridad, la expresión regular de autoridad muestra un retroceso catastrófico, causando una denegación de servicio de la herramienta de línea de comandos si se pasa una URL como parámetro o se redirige a través de una redirección HTTP.

En el paquete de criptografía anterior a la versión 3.3.2 para Python, utilizado por las herramientas de línea de comandos de Couchbase Server, ciertas secuencias de llamadas de actualización para cifrar simétricamente valores de varios GB podían provocar un desbordamiento de enteros y un desbordamiento de búfer en dicha herramienta.

Esto puede causar indisponibilidad del Servicio de Datos. Se recomienda utilizar un cortafuegos para permitir únicamente que el tráfico de red de tus aplicaciones se comunique con el clúster de Couchbase Server.

Esto puede causar indisponibilidad del Servicio de Datos. Se recomienda utilizar un cortafuegos para permitir únicamente que el tráfico de red de tus aplicaciones se comunique con el clúster de Couchbase Server.

Si un servidor LDAP o Active Directory, utilizado para la autenticación externa, está configurado para permitir enlaces inseguros no autenticados, Couchbase Server Cluster Manager permitirá que un usuario externo sea autenticado con una contraseña vacía.

Los servidores LDAP pueden configurarse para que fallen las peticiones Unauthenticated Bind con un resultCode de "unwillingToPerform" para evitar que esto ocurra.

Se han resuelto varios problemas de seguridad en OpenSSL, uno de los cuales podía provocar el bloqueo del servidor TLS si un cliente enviaba un mensaje ClientHello de renegociación malintencionado.

Problema en Angular tal y como lo utiliza la interfaz de usuario de Couchbase que puede provocar una denegación de servicio modificando la función merge().

Las consultas N1QL de Expresión de Tabla Común no respetaban correctamente los controles de seguridad RBAC, dando acceso de lectura a usuarios que no tenían la autorización requerida.

A rare condition that is triggered when Auditing is enabled for the View Engine and Node to Node encryption is enabled. If Couchbase Server is unable to check the remote hostname and port of an incoming internal command (view-merge request) over TLS, an error is logged which contains unredacted Base64 encoded authentication information for an internal user with administrator privileges, @ns_server.

A temporary workaround is to disable View Engine auditing or Node to Node Encryption until an upgrade can be performed.

Couchbase Server was logging the temporary session cookie for a user when audited events containing a session ID were logged to the audit log and debug.log. An attacker with access to logging data could use this to impersonate an authenticated user.

A security issue in the buger/jsonparser (JSON parser for Go) library allows an attacker to cause a denial of service (DOS) in the Couchbase Server Search Service.

The Apache HttpClient, as used by the Couchbase Server Analytics Service, in versions prior to version 4.5.13 and 5.0.3 can misinterpret malformed authority component in request URIs passed to the library as java.net.URI object and pick the wrong target host for request execution.

The Python urllib3 library which is used by the requests Python library that in turn is used by the Couchbase CLI has a security issue in urllib3 versions before 1.24.2. The library mishandles certain cases where the desired set of CA certificates is different from the OS store of CA certificates, which results in SSL connections succeeding in situations where a verification failure is the correct outcome.

When the Couchbase Server REST endpoint receives an unknown request, the request is logged as an error in the debug.log and info.log. The log includes unredacted Base64-encoded authentication information. The error message also is shown in the logs tab of the UI.

Take care to manually redact any logs exported from the cluster on versions affected by this issue. Upgrading the cluster will automatically prevent the @ns_server password appearing in future log entries.

Internal rest calls (/listCreateTokens, /listRebalanceTokens, /listMetadataTokens) are getting logged into the indexer.log with unredacted Base64 encoded authentication information for internal users with administrator privileges, @cbq-engine-cbauth and @index-cbauth.

Communication between Erlang nodes is done by exchanging a shared secret (aka “magic cookie”). There are cases where the magic cookie is included in the content of the logs. An attacker can use the cookie to attach to an Erlang node and run OS-level commands on the system running the Erlang node.

Reconocimiento: Ofir Hamam, security researcher at EY Israel’s Advanced Security Center

The Slowloris is a type of denial-of-service attack that allows an attacker to take down a target web endpoint by sending requests that periodically send additional headers and never terminate. Reducing the timeout on receipt of HTTP headers is an effective mitigation of this attack and this is the approach taken in the cluster management and views REST endpoints.

La interfaz de usuario de Full Text Seach utiliza AngularJS 1.4.7 para la que existen algunas vulnerabilidades de seguridad conocidas de alta gravedad. Estas bibliotecas AngularJS se han actualizado a una versión más reciente de Angular que ha solucionado estas vulnerabilidades.

Java 6 (JDK 1.6, la versión de referencia del SDK más antigua) no admitía la verificación de nombres de host de forma predeterminada. Una vez que el SDK pasó a Java 7 (Java 1.7) como versión de referencia, fue posible añadir soporte. Esto ocurrió en jvm-core 1.7.11 (que se traduce en java-client 2.7.11). No es posible en versiones anteriores añadirlo manualmente como solución, porque las facilidades para personalizarlo en consecuencia no están expuestas. Ten en cuenta que para no romper las aplicaciones que dependen del comportamiento antiguo, la verificación del nombre de host sigue desactivada por defecto, pero puede activarse en la configuración del SDK (clase CouchbaseEnvironment).

El punto final /settings REST expuesto por el proceso proyector es un punto final que los administradores pueden utilizar para diversas tareas, como actualizar la configuración y recopilar perfiles de rendimiento. El punto final no estaba autenticado y se ha actualizado para que solo los usuarios autenticados puedan acceder a estas API administrativas.

Reconocimiento: Equipo de seguridad de Apple

The Server REST API responds with a {{WWW-Authenticate}} header to unauthenticated requests which allows the user to authenticate via a user / password dialog in a web browser. The problem is that these credentials are cached by the browser which allows a hacker to use CSRF to attack a cluster in the event that an administrator has used their browser to check the results of a REST API request.
This behavior can be disabled by using couchbase-cli (couchbase-cli setting-security –set –disable-www-authenticate 1 -c localhost:8091 -u -p ). This is not disabled by default as it might break existing tools or scripts.

Reconocimiento: Equipo de seguridad de Apple

Some enterprises require that REST API endpoints include security-related headers in REST responses. Headers such as X-Frame-Options and X-Content-Type-Options are generally advisable, however, some information security professionals additionally look for X-Permitted-Cross-Domain-Policies and X-XSS-Protection, which are more generally applicable to HTML endpoints, to be included too. These headers are now included in responses from the Couchbase Server Views REST API (port 8092).

Un atacante con acceso a la API REST pública de Sync Gateway pudo emitir sentencias N1QL adicionales y extraer datos confidenciales o llamar a funciones N1QL arbitrarias a través de los parámetros “startkey” y “endkey” en el endpoint “_all_docs”. Mediante la emisión de consultas anidadas con operaciones de uso intensivo de CPU pueden haber sido capaces de causar un mayor uso de recursos y condiciones de denegación de servicio. El endpoint _all_docs no es necesario para la replicación de Couchbase Mobile, y el acceso externo a este endpoint REST ha sido bloqueado para mitigar este problema.

Reconocimiento: Denis Werner/HiSolutions AG

La información del sistema enviada a Couchbase como parte de un informe de error incluía los nombres de usuario de todos los usuarios que habían iniciado sesión en el sistema, incluso si el registro se había redactado en aras de la privacidad.

Esto se ha corregido para que los nombres de usuario se etiqueten correctamente en los registros y se eliminen cuando se redacten los registros.

El servicio de eventos expone un perfil de diagnóstico del sistema a través de un punto final HTTP que no requiere credenciales en un puerto destinado únicamente al tráfico interno. Esto se ha remediado y ahora se requieren credenciales válidas para acceder.

Couchbase Server expone el endpoint ‘/diag/eval’, que, por defecto, está disponible en TCP/8091 y/o TCP/18091. Autentificado usuarios que tienen ‘Administración completa‘El rol ‘diag/eval’ asignado podría enviar código Erlang arbitrario al endpoint 'diag/eval' de la API y el código se ejecutaría posteriormente en el sistema operativo subyacente con privilegios del usuario que se utilizó para iniciar Couchbase.

Reconocimiento: Equipo de seguridad de Apple

La cookie utilizada para la comunicación intra-nodo no se generó de forma segura. Couchbase Server utiliza erlang:now() para sembrar el PRNG, lo que resulta en un pequeño espacio de búsqueda de semillas aleatorias potenciales que podrían ser utilizadas para forzar la cookie y ejecutar código contra un sistema remoto.

Reconocimiento: Equipo de seguridad de Apple

La indexación secundaria codifica las entradas a indexar utilizando collatejson. Cuando las entradas del índice contenían ciertos caracteres como \t, , se producía un desbordamiento del búfer, ya que la cadena codificada era mucho mayor de lo previsto, lo que provocaba que el servicio de indexación se bloqueara y reiniciara. Esto se ha remediado ahora para asegurar que el búfer siempre crece según sea necesario para cualquier entrada.

Reconocimiento: D-Trust GmbH

Cuando se introducía un certificado de clúster remoto no válido como parte de la creación de referencias, XDCR no analizaba ni comprobaba la firma del certificado. A continuación, aceptaba el certificado no válido e intentaba utilizarlo para establecer futuras conexiones con el clúster remoto. Esto se ha solucionado. XDCR comprueba ahora la validez del certificado de forma exhaustiva y evita que se cree una referencia de clúster remoto con un certificado no válido.

En versiones de Couchbase Server anteriores a la 5.0, el bucket llamado “default” era un bucket especial que permitía acceso de lectura y escritura sin autenticación. Como parte de la versión 5.0, el comportamiento de todos los cubos, incluido “default”, se modificó para permitir el acceso únicamente a usuarios autenticados con autorización suficiente. Sin embargo, los usuarios podían acceder sin autenticación y sin autorización al cubo “por defecto” si se editaban las propiedades de este cubo. Esto se ha corregido.