Alertes Couchbase

Cette vulnérabilité permet à des attaquants non authentifiés disposant d'un accès réseau via plusieurs protocoles de compromettre Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition. Les attaques réussies de cette vulnérabilité peuvent entraîner un accès non autorisé à la mise à jour, à l'insertion ou à la suppression de certaines données accessibles d'Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition.

The DES and Triple DES ciphers, as used in the TLS, SSH, and IPSec protocols and other protocols and products, have a birthday bound of approximately four billion blocks, which makes it easier for remote attackers to obtain cleartext data via a birthday attack against a long-duration encrypted session, as demonstrated by an HTTPS session using Triple DES in CBC mode, aka a “Sweet32” attack.

L'en-tête Host d'une requête HTTP entrante a été copié aveuglément dans l'en-tête Location.

SDK will negotiate with SCRAM-SHA by default which allows for a MITM to negotiate for PLAIN credentials

Un accès à la mémoire hors limites dans V8 dans Google Chrome avant la version 120.0.6099.224 permet à un attaquant distant d'exploiter potentiellement la corruption du tas via une page HTML conçue.

Une faille a été trouvée dans le paquetage python-cryptography. Ce problème peut permettre à un attaquant distant de décrypter les messages capturés dans les serveurs TLS qui utilisent des échanges de clés RSA, ce qui peut conduire à l'exposition de données confidentielles ou sensibles.

The Query stats endpoint did not implement correct authentication, making it possible to view the stats information

Un utilisateur disposant du privilège de lecteur de données peut tuer le service de données en envoyant des GetKeys demandant un grand nombre de documents, ce qui déclenche une erreur "Out-of-Memory" (OOM).

A user with Data Reader role could lock a Data Service reader thread for a significant time by requesting a high number of keys and potentially lock up all reader threads by issuing the same command on multiple connections

Les ports réseau 9119 et 9121 étaient des ports de service RMI non authentifiés hébergés par le service d'analyse, ce qui pouvait entraîner une escalade des privilèges.

The cluster’s otpCookie was leaked to users with Full Admin role on API endpoint serverGroups and both Cluster Admin and Full Admin on API endpoint engageCluster2. This could be used to elevate privileges

Calling cURL via SQL++ (N1QL) using the Query Service to the localhost’s /diag/eval endpoint wasn’t fully prevented.

The SQL++ (N1QL) cURL allowlist protection in the Query Service, wasn’t sufficient in preventing accessing restricted hosts.

Calling cURL via SQL++ (N1QL) via the Eventing Service to the local host’s /diag/eval endpoint wasn’t fully prevented.

Un événement de journalisation a provoqué la fuite des informations d'identification de l'administrateur interne de @ns_server sous forme codée dans diag.log.

The private key used for Cross Datacenter Replication (XDCR) was leaked in the goxdcr.log

La faille dans curl fait déborder une mémoire tampon basée sur le tas dans la poignée de main du proxy SOCKS5.

Les applications qui utilisent les fonctions DH_generate_key() pour générer une clé DH X9.42 et les applications qui utilisent DH_check_pub_key(), DH_check_pub_key_ex() ou EVP_PKEY_public_check() pour vérifier une clé DH X9.42 ou des paramètres DH X9.42 peuvent subir des retards importants. Lorsque la clé ou les paramètres vérifiés ont été obtenus à partir d'une source non fiable, cela peut entraîner un déni de service.

Le protocole HTTP/2 permet un déni de service car l'annulation des requêtes peut réinitialiser rapidement de nombreux flux.

Le protocole HTTP/2 permet un déni de service car l'annulation des requêtes peut réinitialiser rapidement de nombreux flux.

Une vulnérabilité dans OpenSSL liée à la vérification des chaînes de certificats X.509 qui incluent des contraintes de politique, qui permettrait aux attaquants d'exploiter cette vulnérabilité en créant une chaîne de certificats malveillante qui déclenche une utilisation exponentielle des ressources de calcul, conduisant à une attaque par déni de service (DoS) sur les systèmes affectés.

Un flux HTTP/2 malicieusement conçu peut entraîner une consommation excessive du processeur dans le décodeur HPACK, suffisante pour provoquer un déni de service à partir d'un petit nombre de petites requêtes.

Une confusion de type dans V8 dans Google Chrome avant la version 114.0.5735.110 permettait à un attaquant distant d'exploiter potentiellement une corruption de tas via une page HTML conçue.

Mise à jour d'OpenJDK vers les versions 11.0.19 pour résoudre de nombreuses CVE.

The Couchbase Server Windows UI allows an attacker to traverse the filesystem and display files that Couchbase has access to. This vulnerability doesn’t require any authentication. It’s exploitable with just appending folders/files to the Couchbase Server admin UI’s URL.

Un utilisateur malveillant peut facilement faire planter un serveur memcached en se connectant au serveur et en commençant à envoyer des commandes volumineuses.

La clé privée est divulguée dans le fichier debug.log lors de l'ajout d'un nœud pré-7.0 à un cluster 7.2.

Dans les versions antérieures à 4.1.86.Final, une erreur StackOverflowError peut être levée lors de l'analyse d'un message malformé à cause d'une récursion infinie.

The FTS stats endpoint at /api/nsstats does not implement correct authentication, so it is possible to view the names of Couchbase Server buckets, the names of FTS indexes and configuration of FTS indexes without authentication. The contents of the buckets and indexes are not exposed.

Lors d'une défaillance de jonction de nœuds, les informations d'identification non expurgées de l'utilisateur effectuant la requête REST peuvent être divulguées dans les fichiers journaux.

During the start of a couchbase server node there is a short time period where the security cookie is set to “nocookie” which lacks access controls over the Erlang distribution protocol. If an attacker connects to this protocol during this period, they can execute arbitrary code remotely on any cluster node at any point of time until their connection is dropped. The executed code will be running with the same privileges as the Couchbase Server.

Un épuisement des ressources du service Couchbase Analytics peut se produire en raison de l'absence d'une vérification visant à empêcher l'utilisation de tableaux profondément imbriqués.

Un corps de requête HTTP extrêmement volumineux (ou non limité) peut entraîner une erreur OOM (out-of-memory) du service de sauvegarde.

The v8 Javascript engine as used in the Couchbase Server Eventing Service, View Engine, XDCR and N1QL UDFs has been updated as there’s a type confusion in versions prior to 99.0.4844.84 which allowed a remote attacker to potentially exploit heap corruption via a crafted request.

Un attaquant peut utiliser les fichiers Parquet, tels qu'ils sont utilisés de manière optionnelle par le service Couchbase Analytics, pour provoquer un déni de service si les fichiers malveillants contiennent des valeurs incorrectes dans l'en-tête de la page du fichier (par exemple, des valeurs négatives alors qu'une valeur positive est attendue). Ce problème est résolu par la mise à jour de la bibliothèque Apache Parquet vers une version plus récente.

When using the tls/ssl feature in couchbase server, it is possible to bypass client authentication in certain situations. Specifically, any application using the ssl/tls/dtls server, and the client certification option “{verify, verify_peer}” are affected by this vulnerability. Corrections have been released on the supported tracks with patches 23.3.4.15, 24.3.4.2, and 25.0.2 of the erlang/OTP runtime. Only clusters using certificate-based authentication are affected.

Dans certains cas rares, la clé privée du certificat généré peut être divulguée dans les fichiers journaux.

Mise à jour du langage de programmation Go et des bibliothèques associées utilisées dans plusieurs services Couchbase Server vers les versions 1.17.9+ ou 1.18.1+ pour résoudre de nombreuses CVE.

jackson-databind, before 2.13.0 allows a Java StackOverflow exception and denial of service via a large depth of nested objects. This library is used by the Couchbase Server Analytics Service.

Updated openssl to fix a flaw in an openssl component, c_rehash. This script scans directories and takes a hash value of each .pem and .crt file in the directory. It then creates symbolic links for each of the files named by the hash value. It has a flaw that allows command injection in the script.

In Couchbase Server 7.1.0 and later it’s possible to provide a passphrase to Couchbase Server to unlock an encrypted TLS private key. This passphrase was found to be leaked in the log files as a Base64 encoded string when one of the Couchbase services, other than the Data Service, was starting up. This affects the Index Service, Query Service, Analytics Service, Backup Service and Eventing Service if the optional encrypted TLS keys feature is used. Note, an attacker needs to have access to the logs as well as the private key to be able to perform attacks such as performing a man in the middle attack or decrypting network communication. Using operating system protections to restrict access to these files can be an effective mitigation strategy.

Ramda 0.27.0 and earlier allows attackers to compromise integrity or availability of application via supplying a crafted object (that contains an own property “{}proto{}”) as an argument to the function, known as prototype pollution. Prototype pollution type attacks allow bypassing input validation and triggering unexpected javascript execution.

js-beautify has a dependency with a known vulnerability, Minimist. Minimist <=1.2.5 is vulnerable to Prototype Pollution via file index.js, function setKey() (lines 69-95). Prototype pollution attacks allow bypassing input validation and triggering unexpected javascript execution.

Lors de la création d'index secondaires avec le Couchbase Server Analytics Service, certaines validations sur les champs indexés sont signalées à l'utilisateur et enregistrées. Le message d'erreur avec le code ASX0013 est utilisé dans plusieurs chemins pour signaler et enregistrer qu'il y a un nom de champ en double. Les noms des champs dans ces messages de validation enregistrés ne sont pas expurgés. Le message d'erreur ASX1079 contient également des noms de champs qui ne sont pas expurgés.

En cas d'échec de l'établissement d'une connexion TLS pour un lien distant Analytics configuré avec encryption=full, le runtime tente de découvrir le port TLS (non par défaut) en essayant d'établir une connexion non TLS avec le cluster distant, en utilisant SCRAM-SHA pour l'authentification. Bien que les informations d'identification ne soient pas partagées lors de l'utilisation de SCRAM-SHA, on ne peut pas s'attendre à ce que le système réduise le niveau de chiffrement prescrit qui spécifie une connexion TLS. Ce mécanisme de repli a été supprimé et, en cas d'échec de l'établissement initial d'une connexion TLS, le LIEN DE CONNEXION échouera simplement jusqu'à ce que le port TLS correct soit fourni dans le cadre de la configuration du lien.

If the backup service fails to log an audit message, it leaks the audit log data into the backup_service.log which isn’t redacted.

Le paquet golang.org/x/text/encoding/unicode qui pourrait conduire le décodeur UTF-16 à entrer dans une boucle infinie, provoquant un plantage du programme ou un manque de mémoire.

La commande couchbase-cli génère un processus erlang de très courte durée qui a le mot de passe principal comme argument de processus, ce qui signifie que si quelqu'un obtient la liste des processus à ce moment-là, il aura le mot de passe principal. Ceci n'affecte que les clusters de Couchbase Server utilisant la fonctionnalité de gestion des secrets.

Si un rôle RBAC contient une autorisation au niveau de la collection (par exemple, query_select[src:_default:Collection1]) et que le nom de la collection est supprimé et recréé dans le seau, l'autorisation au niveau de la collection sera toujours valide. Cela permet à l'utilisateur ayant le rôle d'accéder à la collection même si son autorisation aurait dû être supprimée lorsque la collection a été supprimée.

Dans les versions concernées de Couchbase Server, les paramètres internes de XDCR peuvent être modifiés sans authentification.

In affected versions of Couchbase Server, the Erlang “cookie” is passed via a command-line argument to ‘erl’ when using the ‘server-eshell’ command; this leaked the “cookie” to all who could read the ‘couchbase-cli’ process arguments. The cookie should remain secret as it can be used to perform administrative tasks in the cluster.

Une faille a été découverte dans Python. Une réponse HTTP mal gérée dans le code client HTTP de Python peut permettre à un attaquant distant, qui contrôle le serveur HTTP, de faire entrer le script client dans une boucle infinie, ce qui consomme du temps CPU. Ce problème n'affecte que les clusters utilisant la fonction de prévisualisation des développeurs, Analytics UDFs.

Un échec lors du chargement d'un échantillon (beer-sample, gamesim-sample, travel-sample) peut entraîner une fuite du mot de passe de l'utilisateur interne @ns_server admin dans les journaux (debug.log, error.log, info.log, reports.log). Le compte @ns_server peut être utilisé pour effectuer des actions administratives.

Lors de l'ajout de nœuds de grappe, une panne du gestionnaire de grappe (ns_server) peut entraîner la fuite de la clé privée dans les fichiers journaux. Une personne ayant accès aux fichiers journaux peut être en mesure de décrypter les connexions réseau sécurisées vers la grappe. Si TLS est utilisé, les informations d'identification des utilisateurs et des applications qui se connectent à la grappe peuvent être obtenues.

Diagnostic endpoints such as diag/eval are restricted and can only be executed from the loopback network. However, the checks put in place to address CVE-2018-15728 do not correctly check if a “X-Forwarded-For” header contains a loopback address. This header can be manipulated to workaround the loopback restriction.

La vulnérabilité est limitée aux requêtes provenant d'un réseau privé et d'espaces d'adresses partagées, conformément à la RFC6890.

Pour pouvoir envoyer des demandes à ces points finaux, un utilisateur doit disposer de tous les privilèges administratifs, quel que soit l'en-tête "X-Forwarded-For" utilisé.

Une solution pour résoudre ce problème est d'installer un pare-feu sur les requêtes adressées aux nœuds du serveur Couchbase qui contiennent des en-têtes "X-Forwarded-For" dans les environnements où ils ne sont pas nécessaires.

Reconnaissance : Mucahit Karadag / PRODAFT

The Index Service runs several network processes, Queryport, Dataport and Adminport. These are used to communicate with other Couchbase services. These processes take part in node to node communication, but do not communicate directly with SDK applications. In the affected versions of Couchbase Server, these network processes do not enforce authentication, so will process requests sent by unauthenticated users.

Le serveur Queryport peut répondre à un utilisateur non authentifié avec les résultats de l'analyse de l'index.

Le serveur Dataport peut permettre à un utilisateur non authentifié de modifier des données indexées.

Le serveur Adminport peut permettre à un utilisateur non authentifié d'effectuer des opérations DDL (comme la création et la suppression d'index).

Solution possible : Comme ces ports ne sont utilisés que pour la communication interne du serveur Couchbase, toute connexion/communication avec des nœuds et des processus non liés au serveur Couchbase peut être désactivée au niveau de la couche réseau.

Les utilisateurs non authentifiés peuvent faire un appel API REST au gestionnaire de cluster. Chaque requête http qui n'a pas été vue auparavant par le gestionnaire de cluster entraîne la création d'une nouvelle métrique. Chaque nouvelle mesure prend de la mémoire et de l'espace disque, ce qui peut créer une fuite de mémoire et une fuite d'espace disque. Si suffisamment de ressources sont utilisées, un nœud du serveur Couchbase peut tomber en panne.

Lorsque Sync Gateway est configuré pour s'authentifier avec Couchbase Server à l'aide de certificats clients X.509, les informations d'identification de l'administrateur fournies à l'API Admin REST sont ignorées, ce qui entraîne une élévation des privilèges pour les utilisateurs non authentifiés. L'API REST publique n'est pas concernée par ce problème.

Solution : Remplacer l'authentification par certificat X.509 par une authentification par nom d'utilisateur et mot de passe dans la configuration d'amorçage.

Les administrateurs qui ajoutent un nœud non fiable à une grappe pourraient, par inadvertance, risquer de transmettre le cookie de la grappe, qui doit rester secret.

This can be addressed by deploying TLS encryption with Certificate Authority signed certificates. When using TLS, a trusted certificate is required to be present on the incoming node from Couchbase Server version 7.1.0.

Reconnaissance : Ofir Hamam, security researcher at EY Israel’s Advanced Security Center

Couchbase Operator 2.2.0 introduced an optimization that simplified log collection. When logs are collected, the support tool – “cbopinfo” – is used to collect Kubernetes resources necessary to gain insight into intended resource state, and current resource status. Prior to the affected versions, secret data was redacted, however this functionality was not retained in the new collection method. As a result, logs would have erroneously contained any passwords, tokens, and private keys within the scope of the log collection. By default, this scope will be limited to the Kubernetes namespace in which the Couchbase Server cluster under inspection resides. The exception to this is if the –system flag was specified, in which case all secrets on the platform will have been exposed. Logs are used to identify and remediate customer issues, and therefore only customers that have supplied logs, with the specified tool versions, are affected. Couchbase will ensure that all affected logs which have been provided are redacted.

Un problème critique dans l'utilitaire Apache Log4J tel qu'utilisé par Couchbase Analytics Service nécessite une mise à jour afin d'éviter une potentielle exécution de code à distance (RCE) et l'extraction de données sensibles.

Les informations d'identification du seau utilisées par Sync Gateway pour lire et écrire des données dans Couchbase Server étaient stockées de manière non sécurisée dans les métadonnées des documents de synchronisation écrits dans le seau. Les utilisateurs ayant un accès en lecture pouvaient utiliser ces informations d'identification pour obtenir un accès en écriture. Ce problème n'affecte pas les clusters où Sync Gateway est authentifié avec des certificats clients x.509. Ce problème n'affecte pas non plus les clusters où l'accès partagé aux seaux n'est pas activé sur Sync Gateway.

Remote Cluster XDCR credentials can get leaked in debug logs. Config key tombstone purging was added in Couchbase Server 7.0.0. This issue happens when a config key, which is being logged, has a tombstone purger time-stamp attached to it.

As part of a cbcollect_info log collection, Couchbase Server collects the process info of all the processes running in the Erlang VM. The issue occurs when the cluster manager forwards an HTTP request from the pluggable UI (query workbench, etc.) to the specific service. In the backtrace, the Basic Auth Header included in the HTTP request, has the “@” user credentials of the node processing the UI request. For the issue to occur, the process info has to be triggered at the exact moment when a pluggable UI request is being serviced by the cluster manager.

Un problème a été découvert dans urllib3 avant 1.26.5, tel qu'utilisé par les outils de ligne de commande du serveur Couchbase. Lorsque ces outils reçoivent une URL contenant de nombreux caractères @ dans le composant autorité, l'expression régulière autorité présente un retour en arrière catastrophique, provoquant un déni de service de l'outil de ligne de commande si une URL est passée en paramètre ou redirigée via une redirection HTTP.

Dans le paquet cryptographique antérieur à la version 3.3.2 pour Python, utilisé par les outils en ligne de commande du serveur Couchbase, certaines séquences d'appels de mise à jour pour chiffrer symétriquement des valeurs de plusieurs Go pourraient entraîner un débordement d'entier et un débordement de mémoire tampon dans cet outil.

Cela peut entraîner l'indisponibilité du service de données. Il est recommandé d'utiliser un pare-feu pour n'autoriser que le trafic réseau de vos applications à communiquer avec le cluster Couchbase Server.

Cela peut entraîner l'indisponibilité du service de données. Il est recommandé d'utiliser un pare-feu pour n'autoriser que le trafic réseau de vos applications à communiquer avec le cluster Couchbase Server.

Si un serveur LDAP ou Active Directory, utilisé pour l'authentification externe, est configuré pour autoriser des liaisons non authentifiées non sécurisées, le gestionnaire de cluster du serveur Couchbase autorisera l'authentification d'un utilisateur externe avec un mot de passe vide.

Les serveurs LDAP peuvent être configurés pour faire échouer les demandes de liaison non authentifiée dont le code de résultat est "unwillingToPerform" afin d'éviter que cela ne se produise.

Résolution de plusieurs problèmes de sécurité dans OpenSSL, dont l'un pouvait entraîner le plantage du serveur TLS en cas d'envoi par un client d'un message ClientHello de renégociation conçu de manière malveillante.

Problème dans Angular tel qu'utilisé par l'interface Couchbase qui peut causer un déni de service en modifiant la fonction merge().

Les requêtes N1QL de Common Table Expression ne respectaient pas correctement les contrôles de sécurité RBAC, donnant un accès en lecture à des utilisateurs qui n'avaient pas l'autorisation requise.

A rare condition that is triggered when Auditing is enabled for the View Engine and Node to Node encryption is enabled. If Couchbase Server is unable to check the remote hostname and port of an incoming internal command (view-merge request) over TLS, an error is logged which contains unredacted Base64 encoded authentication information for an internal user with administrator privileges, @ns_server.

A temporary workaround is to disable View Engine auditing or Node to Node Encryption until an upgrade can be performed.

Couchbase Server was logging the temporary session cookie for a user when audited events containing a session ID were logged to the audit log and debug.log. An attacker with access to logging data could use this to impersonate an authenticated user.

A security issue in the buger/jsonparser (JSON parser for Go) library allows an attacker to cause a denial of service (DOS) in the Couchbase Server Search Service.

The Apache HttpClient, as used by the Couchbase Server Analytics Service, in versions prior to version 4.5.13 and 5.0.3 can misinterpret malformed authority component in request URIs passed to the library as java.net.URI object and pick the wrong target host for request execution.

The Python urllib3 library which is used by the requests Python library that in turn is used by the Couchbase CLI has a security issue in urllib3 versions before 1.24.2. The library mishandles certain cases where the desired set of CA certificates is different from the OS store of CA certificates, which results in SSL connections succeeding in situations where a verification failure is the correct outcome.

When the Couchbase Server REST endpoint receives an unknown request, the request is logged as an error in the debug.log and info.log. The log includes unredacted Base64-encoded authentication information. The error message also is shown in the logs tab of the UI.

Take care to manually redact any logs exported from the cluster on versions affected by this issue. Upgrading the cluster will automatically prevent the @ns_server password appearing in future log entries.

Internal rest calls (/listCreateTokens, /listRebalanceTokens, /listMetadataTokens) are getting logged into the indexer.log with unredacted Base64 encoded authentication information for internal users with administrator privileges, @cbq-engine-cbauth and @index-cbauth.

Communication between Erlang nodes is done by exchanging a shared secret (aka “magic cookie”). There are cases where the magic cookie is included in the content of the logs. An attacker can use the cookie to attach to an Erlang node and run OS-level commands on the system running the Erlang node.

Reconnaissance : Ofir Hamam, security researcher at EY Israel’s Advanced Security Center

The Slowloris is a type of denial-of-service attack that allows an attacker to take down a target web endpoint by sending requests that periodically send additional headers and never terminate. Reducing the timeout on receipt of HTTP headers is an effective mitigation of this attack and this is the approach taken in the cluster management and views REST endpoints.

L'interface utilisateur de Full Text Seach utilise AngularJS 1.4.7 pour lequel il existe des vulnérabilités de sécurité connues de haute sévérité. Ces bibliothèques AngularJS ont été mises à jour vers une version plus récente d'Angular qui a corrigé ces vulnérabilités.

Java 6 (JDK 1.6 – the older SDK baseline version) did not support hostname verification out of the box. Once the SDK moved to Java 7 (Java 1.7) as the baseline, adding support was possible. This happened in jvm-core 1.7.11 (which translates to java-client 2.7.11). It is not possible in earlier versions to manually add it as a workaround, because the facilities to customize it accordingly are not exposed. Note that in order to not break applications that rely on the old behavior, hostname verification is still disabled by default, but can be enabled in the SDK configuration (CouchbaseEnvironment class).

Le point d'accès REST /settings exposé par le processus du projecteur est un point d'accès que les administrateurs peuvent utiliser pour diverses tâches telles que la mise à jour de la configuration et la collecte de profils de performance. Le point de terminaison n'était pas authentifié et a été mis à jour pour permettre uniquement aux utilisateurs authentifiés d'accéder à ces API administratives.

Reconnaissance : L'équipe de sécurité d'Apple

The Server REST API responds with a {{WWW-Authenticate}} header to unauthenticated requests which allows the user to authenticate via a user / password dialog in a web browser. The problem is that these credentials are cached by the browser which allows a hacker to use CSRF to attack a cluster in the event that an administrator has used their browser to check the results of a REST API request.
This behavior can be disabled by using couchbase-cli (couchbase-cli setting-security –set –disable-www-authenticate 1 -c localhost:8091 -u -p ). This is not disabled by default as it might break existing tools or scripts.

Reconnaissance : Équipe de sécurité d'Apple

Some enterprises require that REST API endpoints include security-related headers in REST responses. Headers such as X-Frame-Options and X-Content-Type-Options are generally advisable, however, some information security professionals additionally look for X-Permitted-Cross-Domain-Policies and X-XSS-Protection, which are more generally applicable to HTML endpoints, to be included too. These headers are now included in responses from the Couchbase Server Views REST API (port 8092).

An attacker with access to the Sync Gateway’s public REST API was able to issue additional N1QL statements and extract sensitive data or call arbitrary N1QL functions through the parameters “startkey” and “endkey” on the “_all_docs” endpoint. By issuing nested queries with CPU-intensive operations they may have been able to cause increased resource usage and denial of service conditions. The _all_docs endpoint is not required for Couchbase Mobile replication, and external access to this REST endpoint has been blocked to mitigate this issue.

Reconnaissance : Denis Werner/HiSolutions AG

Les informations système soumises à Couchbase dans le cadre d'un rapport de bogue comprenaient les noms d'utilisateur de tous les utilisateurs actuellement connectés au système, même si le journal était expurgé pour des raisons de confidentialité.

Ce problème a été corrigé afin que les noms d'utilisateur soient correctement marqués dans les journaux et qu'ils soient supprimés lorsque les journaux sont expurgés.

Le service d'événements expose un profil de diagnostic du système via un point de terminaison HTTP qui ne nécessite pas d'informations d'identification sur un port réservé au trafic interne. Ce problème a été corrigé et l'accès nécessite désormais des informations d'identification valides.

Couchbase Server exposed the ‘/diag/eval’ endpoint, which, by default, is available on TCP/8091 and/or TCP/18091. Authentifié users that have ‘Full Admin‘ role assigned could send arbitrary Erlang code to the ‘diag/eval’ endpoint of the API and the code would subsequently be executed in the underlying operating system with privileges of the user which was used to start Couchbase.

Reconnaissance : Équipe de sécurité d'Apple

Le cookie utilisé pour la communication intra-nœud n'a pas été généré de manière sécurisée. Le serveur Couchbase utilise erlang:now() pour ensemencer le PRNG, ce qui entraîne un petit espace de recherche pour les graines aléatoires potentielles qui pourraient alors être utilisées pour forcer brutalement le cookie et exécuter du code contre un système distant.

Reconnaissance : Équipe de sécurité d'Apple

Secondary indexing encodes the entries to be indexed using collatejson. When index entries contained certain characters like \t, , it caused a buffer overrun as the encoded string would be much larger than accounted for, causing the indexer service to crash and restart. This has been remedied now to ensure the buffer always grows as needed for any input.

Reconnaissance : D-Trust GmbH

Lorsqu'un certificat de cluster distant non valide était saisi dans le cadre de la création d'une référence, le XDCR n'analysait pas et ne vérifiait pas la signature du certificat. Il acceptait alors le certificat non valide et tentait de l'utiliser pour établir de futures connexions au cluster distant. Ce problème a été résolu. L'XDCR vérifie désormais minutieusement la validité du certificat et empêche la création d'une référence de cluster distant avec un certificat non valide.

In versions of Couchbase Server prior to 5.0, the bucket named “default” was a special bucket that allowed read and write access without authentication. As part of 5.0, the behavior of all buckets including “default” were changed to only allow access by authenticated users with sufficient authorization. However, users were allowed unauthenticated and unauthorized access to the “default” bucket if the properties of this bucket were edited. This has been fixed.