Alertes Couchbase

Cette vulnérabilité permet à des attaquants non authentifiés disposant d'un accès réseau via plusieurs protocoles de compromettre Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition. Les attaques réussies de cette vulnérabilité peuvent entraîner un accès non autorisé à la mise à jour, à l'insertion ou à la suppression de certaines données accessibles d'Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition.

The DES and Triple DES ciphers, as used in the TLS, SSH, and IPSec protocols and other protocols and products, have a birthday bound of approximately four billion blocks, which makes it easier for remote attackers to obtain cleartext data via a birthday attack against a long-duration encrypted session, as demonstrated by an HTTPS session using Triple DES in CBC mode, aka a “Sweet32” attack.

L'en-tête Host d'une requête HTTP entrante a été copié aveuglément dans l'en-tête Location.

Le SDK négocie par défaut avec SCRAM-SHA, ce qui permet à un MITM de négocier des informations d'identification PLAIN.

Un accès à la mémoire hors limites dans V8 dans Google Chrome avant la version 120.0.6099.224 permet à un attaquant distant d'exploiter potentiellement la corruption du tas via une page HTML conçue.

Une faille a été trouvée dans le paquetage python-cryptography. Ce problème peut permettre à un attaquant distant de décrypter les messages capturés dans les serveurs TLS qui utilisent des échanges de clés RSA, ce qui peut conduire à l'exposition de données confidentielles ou sensibles.

Le point de terminaison Query stats n'a pas mis en œuvre une authentification correcte, ce qui a rendu possible la visualisation des informations sur les statistiques.

Un utilisateur disposant du privilège de lecteur de données peut tuer le service de données en envoyant des GetKeys demandant un grand nombre de documents, ce qui déclenche une erreur "Out-of-Memory" (OOM).

Un utilisateur ayant le rôle de lecteur de données peut bloquer un thread de lecture du service de données pendant une longue période en demandant un grand nombre de clés et potentiellement bloquer tous les threads de lecture en émettant la même commande sur plusieurs connexions.

Les ports réseau 9119 et 9121 étaient des ports de service RMI non authentifiés hébergés par le service d'analyse, ce qui pouvait entraîner une escalade des privilèges.

The cluster’s otpCookie was leaked to users with Full Admin role on API endpoint serverGroups and both Cluster Admin and Full Admin on API endpoint engageCluster2. This could be used to elevate privileges.

Calling cURL via SQL++ (N1QL) using the Query Service to the localhost’s / diag / eval endpoint wasn’t fully prevented.

The SQL++ (N1QL) cURL allowlist protection in the Query Service, wasn’t sufficient in preventing accessing restricted hosts.

Calling cURL via SQL++ (N1QL) via the Eventing Service to the local host’s diag eval endpoint wasn’t fully prevented.

Un événement de journalisation a provoqué la fuite des informations d'identification de l'administrateur interne de @ns_server sous forme codée dans diag.log.

La clé privée utilisée pour Cross Datacenter Replication (XDCR) a été divulguée dans le fichier goxdcr.log.

La faille dans curl fait déborder une mémoire tampon basée sur le tas dans la poignée de main du proxy SOCKS5.

Les applications qui utilisent les fonctions DH_generate_key() pour générer une clé DH X9.42 et les applications qui utilisent DH_check_pub_key(), DH_check_pub_key_ex() ou EVP_PKEY_public_check() pour vérifier une clé DH X9.42 ou des paramètres DH X9.42 peuvent subir des retards importants. Lorsque la clé ou les paramètres vérifiés ont été obtenus à partir d'une source non fiable, cela peut entraîner un déni de service.

Le protocole HTTP/2 permet un déni de service car l'annulation des requêtes peut réinitialiser rapidement de nombreux flux.

Le protocole HTTP/2 permet un déni de service car l'annulation des requêtes peut réinitialiser rapidement de nombreux flux.

Une vulnérabilité dans OpenSSL liée à la vérification des chaînes de certificats X.509 qui incluent des contraintes de politique, qui permettrait aux attaquants d'exploiter cette vulnérabilité en créant une chaîne de certificats malveillante qui déclenche une utilisation exponentielle des ressources de calcul, conduisant à une attaque par déni de service (DoS) sur les systèmes affectés.

Un flux HTTP/2 malicieusement conçu peut entraîner une consommation excessive du processeur dans le décodeur HPACK, suffisante pour provoquer un déni de service à partir d'un petit nombre de petites requêtes.

Une confusion de type dans V8 dans Google Chrome avant la version 114.0.5735.110 permettait à un attaquant distant d'exploiter potentiellement une corruption de tas via une page HTML conçue.

Mise à jour d'OpenJDK vers les versions 11.0.19 pour résoudre de nombreuses CVE.

The Couchbase Server Windows UI allows an attacker to traverse the filesystem and display files that Couchbase has access to. This vulnerability doesn’t require any authentication. It’s exploitable with just appending folders/files to the Couchbase Server admin UI’s URL.

Un utilisateur malveillant peut facilement faire planter un serveur memcached en se connectant au serveur et en commençant à envoyer des commandes volumineuses.

La clé privée est divulguée dans le fichier debug.log lors de l'ajout d'un nœud pré-7.0 à un cluster 7.2.

Dans les versions antérieures à 4.1.86.Final, une erreur StackOverflowError peut être levée lors de l'analyse d'un message malformé à cause d'une récursion infinie.

Le point de terminaison FTS stats à / api / nsstats n'implémente pas une authentification correcte, il est donc possible de voir les noms des buckets du serveur Couchbase, les noms des index FTS et la configuration des index FTS sans authentification. Le contenu des buckets et des index n'est pas exposé.

Lors d'une défaillance de jonction de nœuds, les informations d'identification non expurgées de l'utilisateur effectuant la requête REST peuvent être divulguées dans les fichiers journaux.

During the start of a couchbase server node there is a short time period where the security cookie is set to “nocookie” which lacks access controls over the Erlang distribution protocol. If an attacker connects to this protocol during this period, they can execute arbitrary code remotely on any cluster node at any point of time until their connection is dropped. The executed code will be running with the same privileges as the Couchbase Server.

Un épuisement des ressources du service Couchbase Analytics peut se produire en raison de l'absence d'une vérification visant à empêcher l'utilisation de tableaux profondément imbriqués.

Un corps de requête HTTP extrêmement volumineux (ou non limité) peut entraîner une erreur OOM (out-of-memory) du service de sauvegarde.

The v8 Javascript engine as used in the Couchbase Server Eventing Service, View Engine, XDCR and N1QL UDFs has been updated as there’s a type confusion in versions prior to 99.0.4844.84 which allowed a remote attacker to potentially exploit heap corruption via a crafted request.

An attacker can use Parquet files, as optionally used by the Couchbase Analytics Service, to cause a Denial of Service (DoS) if malicious files contain improper values in the file page header (e.g. negative values where positive value is expected). This is resolved by updating the Apache Parquet library to a later version.

When using the tls/ssl feature in couchbase server, it is possible to bypass client authentication in certain situations. Specifically, any application using the ssl/tls/dtls server, and the client certification option “{verify, verify_peer}” are affected by this vulnerability. Corrections have been released on the supported tracks with patches 23.3.4.15, 24.3.4.2, and 25.0.2 of the erlang/OTP runtime. Only clusters using certificate-based authentication are affected.

Dans certains cas rares, la clé privée du certificat généré peut être divulguée dans les fichiers journaux.

Mise à jour du langage de programmation Go et des bibliothèques associées utilisées dans plusieurs services Couchbase Server vers les versions 1.17.9+ ou 1.18.1+ pour résoudre de nombreuses CVE.

jackson-databind, before 2.13.0 allows a Java StackOverflow exception and denial of service via a large depth of nested objects. This library is used by the Couchbase Server Analytics Service

Updated openssl to fix a flaw in an openssl component, c_rehash. This script scans directories and takes a hash value of each .pem and .crt file in the directory. It then creates symbolic links for each of the files named by the hash value. It has a flaw that allows command injection in the script.

In Couchbase Server 7.1.0 and later it’s possible to provide a passphrase to Couchbase Server to unlock an encrypted TLS private key. This passphrase was found to be leaked in the log files as a Base64 encoded string when one of the Couchbase services, other than the Data Service, was starting up. This affects the Index Service, Query Service, Analytics Service, Backup Service and Eventing Service if the optional encrypted TLS keys feature is used. Note, an attacker needs to have access to the logs as well as the private key to be able to perform attacks such as performing a man in the middle attack or decrypting network communication. Using operating system protections to restrict access to these files can be an effective mitigation strategy.

Ramda 0.27.0 and earlier allows attackers to compromise integrity or availability of application via supplying a crafted object (that contains an own property “{}proto{}”) as an argument to the function, known as prototype pollution. Prototype pollution type attacks allow bypassing input validation and triggering unexpected javascript execution.

js-beautify a une dépendance avec une vulnérabilité connue, Minimist. Minimist <=1.2.5 est vulnérable à Prototype Pollution via le fichier index.js, fonction setKey() (lignes 69-95). Les attaques par pollution de prototype permettent de contourner la validation d'entrée et de déclencher une exécution Javascript inattendue.

Lors de la création d'index secondaires avec le Couchbase Server Analytics Service, certaines validations sur les champs indexés sont signalées à l'utilisateur et enregistrées. Le message d'erreur avec le code ASX0013 est utilisé dans plusieurs chemins pour signaler et enregistrer qu'il y a un nom de champ en double. Les noms des champs dans ces messages de validation enregistrés ne sont pas expurgés. Le message d'erreur ASX1079 contient également des noms de champs qui ne sont pas expurgés.

En cas d'échec de l'établissement d'une connexion TLS pour un lien distant Analytics configuré avec encryption=full, le runtime tente de découvrir le port TLS (non par défaut) en essayant d'établir une connexion non TLS avec le cluster distant, en utilisant SCRAM-SHA pour l'authentification. Bien que les informations d'identification ne soient pas partagées lors de l'utilisation de SCRAM-SHA, on ne peut pas s'attendre à ce que le système réduise le niveau de chiffrement prescrit qui spécifie une connexion TLS. Ce mécanisme de repli a été supprimé et, en cas d'échec de l'établissement initial d'une connexion TLS, le LIEN DE CONNEXION échouera simplement jusqu'à ce que le port TLS correct soit fourni dans le cadre de la configuration du lien.

If the backup service fails to log an audit message, it leaks the audit log data into the backup_service.log which isn’t redacted.

Le paquet golang.org/x/text/encoding/unicode qui pourrait conduire le décodeur UTF-16 à entrer dans une boucle infinie, provoquant un plantage du programme ou un manque de mémoire.

La commande couchbase-cli génère un processus erlang de très courte durée qui a le mot de passe principal comme argument de processus, ce qui signifie que si quelqu'un obtient la liste des processus à ce moment-là, il aura le mot de passe principal. Ceci n'affecte que les clusters de Couchbase Server utilisant la fonctionnalité de gestion des secrets.

Si un rôle RBAC contient une autorisation au niveau de la collection (par exemple, query_select[src:_default:Collection1]) et que le nom de la collection est supprimé et recréé dans le seau, l'autorisation au niveau de la collection sera toujours valide. Cela permet à l'utilisateur ayant le rôle d'accéder à la collection même si son autorisation aurait dû être supprimée lorsque la collection a été supprimée.

Dans les versions concernées de Couchbase Server, les paramètres internes de XDCR peuvent être modifiés sans authentification.

In affected versions of Couchbase Server, the Erlang “cookie” is passed via a command-line argument to ‘erl’ when using the ‘server-eshell’ command; this leaked the “cookie” to all who could read the ‘couchbase-cli’ process arguments. The cookie should remain secret as it can be used to perform administrative tasks in the cluster.

Une faille a été découverte dans Python. Une réponse HTTP mal gérée dans le code client HTTP de Python peut permettre à un attaquant distant, qui contrôle le serveur HTTP, de faire entrer le script client dans une boucle infinie, ce qui consomme du temps CPU. Ce problème n'affecte que les clusters utilisant la fonction de prévisualisation des développeurs, Analytics UDFs.

Un échec lors du chargement d'un échantillon (beer-sample, gamesim-sample, travel-sample) peut entraîner une fuite du mot de passe de l'utilisateur interne @ns_server admin dans les journaux (debug.log, error.log, info.log, reports.log). Le compte @ns_server peut être utilisé pour effectuer des actions administratives.

Lors de l'ajout de nœuds de grappe, une panne du gestionnaire de grappe (ns_server) peut entraîner la fuite de la clé privée dans les fichiers journaux. Une personne ayant accès aux fichiers journaux peut être en mesure de décrypter les connexions réseau sécurisées vers la grappe. Si TLS est utilisé, les informations d'identification des utilisateurs et des applications qui se connectent à la grappe peuvent être obtenues.

Les points d'extrémité de diagnostic tels que diag/eval sont restreints et ne peuvent être exécutés qu'à partir du réseau loopback. Cependant, les contrôles mis en place pour répondre à CVE-2018-15728 ne vérifient pas correctement si un en-tête "X-Forwarded-For" contient une adresse de bouclage. Cet en-tête peut être manipulé pour contourner la restriction de loopback.

La vulnérabilité est limitée aux requêtes provenant d'un réseau privé et d'espaces d'adresses partagées, conformément à la RFC6890.

Pour pouvoir envoyer des demandes à ces points finaux, un utilisateur doit disposer de tous les privilèges administratifs, quel que soit l'en-tête "X-Forwarded-For" utilisé.

Une solution pour résoudre ce problème est d'installer un pare-feu sur les requêtes adressées aux nœuds du serveur Couchbase qui contiennent des en-têtes "X-Forwarded-For" dans les environnements où ils ne sont pas nécessaires.

Reconnaissance : Mucahit Karadag / PRODAFT

Le service d'indexation exécute plusieurs processus réseau, Queryport, Dataport et Adminport. Ces processus sont utilisés pour communiquer avec d'autres services Couchbase. Ces processus participent à la communication de nœud à nœud, mais ne communiquent pas directement avec les applications SDK. Dans les versions concernées de Couchbase Server, ces processus réseau n'appliquent pas l'authentification et traitent donc les demandes envoyées par des utilisateurs non authentifiés.

Le serveur Queryport peut répondre à un utilisateur non authentifié avec les résultats de l'analyse de l'index.

Le serveur Dataport peut permettre à un utilisateur non authentifié de modifier des données indexées.

Le serveur Adminport peut permettre à un utilisateur non authentifié d'effectuer des opérations DDL (comme la création et la suppression d'index).

Solution possible : Comme ces ports ne sont utilisés que pour la communication interne du serveur Couchbase, toute connexion/communication avec des nœuds et des processus non liés au serveur Couchbase peut être désactivée au niveau de la couche réseau.

Les utilisateurs non authentifiés peuvent faire un appel API REST au gestionnaire de cluster. Chaque requête http qui n'a pas été vue auparavant par le gestionnaire de cluster entraîne la création d'une nouvelle métrique. Chaque nouvelle mesure prend de la mémoire et de l'espace disque, ce qui peut créer une fuite de mémoire et une fuite d'espace disque. Si suffisamment de ressources sont utilisées, un nœud du serveur Couchbase peut tomber en panne.

Lorsque Sync Gateway est configuré pour s'authentifier avec Couchbase Server à l'aide de certificats clients X.509, les informations d'identification de l'administrateur fournies à l'API Admin REST sont ignorées, ce qui entraîne une élévation des privilèges pour les utilisateurs non authentifiés. L'API REST publique n'est pas concernée par ce problème.

Les administrateurs qui ajoutent un nœud non fiable à une grappe pourraient, par inadvertance, risquer de transmettre le cookie de la grappe, qui doit rester secret.

Ce problème peut être résolu en déployant le cryptage TLS avec des certificats signés par une autorité de certification. Lors de l'utilisation de TLS, un certificat de confiance doit être présent sur le nœud entrant à partir de la version 7.1.0 du serveur Couchbase.

Reconnaissance : Ofir Hamam, security researcher at EY Israel’s Advanced Security Center

Couchbase Operator 2.2.0 introduced an optimization that simplified log collection. When logs are collected, the support tool – “cbopinfo” – is used to collect Kubernetes resources necessary to gain insight into intended resource state, and current resource status. Prior to the affected versions, secret data was redacted, however this functionality was not retained in the new collection method. As a result, logs would have erroneously contained any passwords, tokens, and private keys within the scope of the log collection. By default, this scope will be limited to the Kubernetes namespace in which the Couchbase Server cluster under inspection resides. The exception to this is if the –system flag was specified, in which case all secrets on the platform will have been exposed. Logs are used to identify and remediate customer issues, and therefore only customers that have supplied logs, with the specified tool versions, are affected. Couchbase will ensure that all affected logs which have been provided are redacted.

Un problème critique dans l'utilitaire Apache Log4J tel qu'utilisé par Couchbase Analytics Service nécessite une mise à jour afin d'éviter une potentielle exécution de code à distance (RCE) et l'extraction de données sensibles.

Les informations d'identification du seau utilisées par Sync Gateway pour lire et écrire des données dans Couchbase Server étaient stockées de manière non sécurisée dans les métadonnées des documents de synchronisation écrits dans le seau. Les utilisateurs ayant un accès en lecture pouvaient utiliser ces informations d'identification pour obtenir un accès en écriture. Ce problème n'affecte pas les clusters où Sync Gateway est authentifié avec des certificats clients x.509. Ce problème n'affecte pas non plus les clusters où l'accès partagé aux seaux n'est pas activé sur Sync Gateway.

Les informations d'identification XDCR du cluster distant peuvent être divulguées dans les journaux de débogage. La purge de la clé de configuration a été ajoutée dans Couchbase Server 7.0.0. Ce problème survient lorsqu'une clé de configuration, qui est enregistrée, est associée à un horodatage de purge de la clé de configuration.

As part of a cbcollect_info log collection, Couchbase Server collects the process info of all the processes running in the Erlang VM. The issue occurs when the cluster manager forwards a HTTP request from the pluggable UI (query workbench, etc.) to the specific service. In the backtrace, the Basic Auth Header included in the HTTP request, has the “@” user credentials of the node processing the UI request. For the issue to occur, the process info has to be triggered at the exact moment when a pluggable UI request is being serviced by the cluster manager.

Un problème a été découvert dans urllib3 avant 1.26.5, tel qu'utilisé par les outils de ligne de commande du serveur Couchbase. Lorsque ces outils reçoivent une URL contenant de nombreux caractères @ dans le composant autorité, l'expression régulière autorité présente un retour en arrière catastrophique, provoquant un déni de service de l'outil de ligne de commande si une URL est passée en paramètre ou redirigée via une redirection HTTP.

Dans le paquet cryptographique antérieur à la version 3.3.2 pour Python, utilisé par les outils en ligne de commande du serveur Couchbase, certaines séquences d'appels de mise à jour pour chiffrer symétriquement des valeurs de plusieurs Go pourraient entraîner un débordement d'entier et un débordement de mémoire tampon dans cet outil.

Cela peut entraîner l'indisponibilité du service de données. Il est recommandé d'utiliser un pare-feu pour n'autoriser que le trafic réseau de vos applications à communiquer avec le cluster Couchbase Server.

Cela peut entraîner l'indisponibilité du service de données. Il est recommandé d'utiliser un pare-feu pour n'autoriser que le trafic réseau de vos applications à communiquer avec le cluster Couchbase Server.

Si un serveur LDAP ou Active Directory, utilisé pour l'authentification externe, est configuré pour autoriser des liaisons non authentifiées non sécurisées, le gestionnaire de cluster du serveur Couchbase autorisera l'authentification d'un utilisateur externe avec un mot de passe vide.

Les serveurs LDAP peuvent être configurés pour faire échouer les demandes de liaison non authentifiée dont le code de résultat est "unwillingToPerform" afin d'éviter que cela ne se produise.

Résolution de plusieurs problèmes de sécurité dans OpenSSL, dont l'un pouvait entraîner le plantage du serveur TLS en cas d'envoi par un client d'un message ClientHello de renégociation conçu de manière malveillante.

Problème dans Angular tel qu'utilisé par l'interface Couchbase qui peut causer un déni de service en modifiant la fonction merge().

Les requêtes N1QL de Common Table Expression ne respectaient pas correctement les contrôles de sécurité RBAC, donnant un accès en lecture à des utilisateurs qui n'avaient pas l'autorisation requise.

L'interface utilisateur de Full Text Seach utilise AngularJS 1.4.7 pour lequel il existe des vulnérabilités de sécurité connues de haute sévérité. Ces bibliothèques AngularJS ont été mises à jour vers une version plus récente d'Angular qui a corrigé ces vulnérabilités.

Java 6 (JDK 1.6 – the older SDK baseline version) did not support hostname verification out of the box. Once the SDK moved to Java 7 (Java 1.7) as the baseline, adding support was possible. This happened in jvm-core 1.7.11 (which translates to java-client 2.7.11). It is not possible in earlier versions to manually add it as a workaround, because the facilities to customize it accordingly are not exposed. Note that in order to not break applications that rely on the old behavior, hostname verification is still disabled by default, but can be enabled in the SDK configuration (CouchbaseEnvironment class).

Le point d'accès REST /settings exposé par le processus du projecteur est un point d'accès que les administrateurs peuvent utiliser pour diverses tâches telles que la mise à jour de la configuration et la collecte de profils de performance. Le point de terminaison n'était pas authentifié et a été mis à jour pour permettre uniquement aux utilisateurs authentifiés d'accéder à ces API administratives.

Reconnaissance : L'équipe de sécurité d'Apple

The Server REST API responds with a {{WWW-Authenticate}} header to unauthenticated requests which allows the user to authenticate via a user / password dialog in a web browser. The problem is that these credentials are cached by the browser which allows a hacker to use CSRF to attack a cluster in the event that an administrator has used their browser to check the results of a REST API request. This behavior can be disabled by using couchbase-cli (couchbase-cli setting-security –set –disable-www-authenticate 1 -c localhost:8091 -u -p ). This is not disabled by default as it might break existing tools or scripts.

Reconnaissance : Équipe de sécurité d'Apple

Certaines entreprises exigent que les points d'extrémité de l'API REST incluent des en-têtes liés à la sécurité dans les réponses REST. Des en-têtes tels que X-Frame-Options et X-Content-Type-Options sont généralement recommandés, mais certains professionnels de la sécurité de l'information souhaitent également que X-Permitted-Cross-Domain-Policies et X-XSS-Protection, qui sont plus généralement applicables au point de terminaison HTML, soient également inclus. Ces en-têtes sont désormais inclus dans les réponses de l'API REST Couchbase Server Views (port 8092).

An attacker with access to the Sync Gateway’s public REST API was able to issue additional N1QL statements and extract sensitive data or call arbitrary N1QL functions through the parameters “startkey” and “endkey” on the “_all_docs” endpoint. By issuing nested queries with CPU-intensive operations they may have been able to cause increased resource usage and denial of service conditions. The _all_docs endpoint is not required for Couchbase Mobile replication, and external access to this REST endpoint has been blocked to mitigate this issue.

Reconnaissance : Denis Werner/HiSolutions AG

Le service d'événements expose un profil de diagnostic du système via un point de terminaison HTTP qui ne nécessite pas d'informations d'identification sur un port réservé au trafic interne. Ce problème a été corrigé et l'accès nécessite désormais des informations d'identification valides.

Les informations système soumises à Couchbase dans le cadre d'un rapport de bogue comprenaient les noms d'utilisateur de tous les utilisateurs actuellement connectés au système, même si le journal était expurgé pour des raisons de confidentialité.

Ce problème a été corrigé afin que les noms d'utilisateur soient correctement marqués dans les journaux et qu'ils soient supprimés lorsque les journaux sont expurgés.

Couchbase Server exposed the ‘/diag/eval’ endpoint, which, by default, is available on TCP/8091 and/or TCP/18091. Authentifié users that have ‘Full Admin‘ role assigned could send arbitrary Erlang code to the ‘diag/eval’ endpoint of the API and the code would subsequently be executed in the underlying operating system with privileges of the user which was used to start Couchbase.

Reconnaissance : Équipe de sécurité d'Apple

Le cookie utilisé pour la communication intra-nœud n'a pas été généré de manière sécurisée. Le serveur Couchbase utilise erlang:now() pour ensemencer le PRNG, ce qui entraîne un petit espace de recherche pour les graines aléatoires potentielles qui pourraient alors être utilisées pour forcer brutalement le cookie et exécuter du code contre un système distant.

Reconnaissance : L'équipe de sécurité d'Apple

Secondary indexing encodes the entries to be indexed using collatejson. When index entries contained certain characters like \t, , it caused a buffer overrun as the encoded string would be much larger than accounted for, causing the indexer service to crash and restart. This has been remedied now to ensure the buffer always grows as needed for any input.

Reconnaissance : D-Trust GmbH

Lorsqu'un certificat de cluster distant non valide était saisi dans le cadre de la création d'une référence, le XDCR n'analysait pas et ne vérifiait pas la signature du certificat. Il acceptait alors le certificat non valide et tentait de l'utiliser pour établir de futures connexions au cluster distant. Ce problème a été résolu. L'XDCR vérifie désormais minutieusement la validité du certificat et empêche la création d'une référence de cluster distant avec un certificat non valide.

In versions of Couchbase Server prior to 5.0, the bucket named “default” was a special bucket that allowed read and write access without authentication. As part of 5.0, the behavior of all buckets including “default” were changed to only allow access by authenticated users with sufficient authorization. However, users were allowed unauthenticated and unauthorized access to the “default” bucket if the properties of this bucket were edited. This has been fixed.