Avvisi di Couchbase

La vulnerabilità consente ad aggressori non autorizzati con accesso alla rete tramite più protocolli di compromettere Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition. Gli attacchi riusciti a questa vulnerabilità possono comportare l'accesso non autorizzato all'aggiornamento, all'inserimento o alla cancellazione di alcuni dati accessibili di Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition.

The DES and Triple DES ciphers, as used in the TLS, SSH, and IPSec protocols and other protocols and products, have a birthday bound of approximately four billion blocks, which makes it easier for remote attackers to obtain cleartext data via a birthday attack against a long-duration encrypted session, as demonstrated by an HTTPS session using Triple DES in CBC mode, aka a “Sweet32” attack.

L'intestazione Host di una richiesta HTTP in entrata è stata copiata alla cieca nell'intestazione Location.

SDK will negotiate with SCRAM-SHA by default which allows for a MITM to negotiate for PLAIN credentials

L'accesso alla memoria fuori dai limiti in V8 in Google Chrome prima della versione 120.0.6099.224 permetteva a un aggressore remoto di sfruttare potenzialmente la corruzione dell'heap tramite una pagina HTML modificata.

È stata rilevata una falla nel pacchetto python-cryptography. Questo problema può consentire a un aggressore remoto di decifrare i messaggi catturati nei server TLS che utilizzano scambi di chiavi RSA, il che può portare all'esposizione di dati riservati o sensibili.

The Query stats endpoint did not implement correct authentication, making it possible to view the stats information

Un utente con il privilegio di lettore di dati potrebbe uccidere il servizio dati inviando GetKeys che richiede un numero elevato di documenti, innescando un errore OOM (Out-of-Memory).

A user with Data Reader role could lock a Data Service reader thread for a significant time by requesting a high number of keys and potentially lock up all reader threads by issuing the same command on multiple connections

Le porte di rete 9119 e 9121 erano porte di servizio RMI non autenticate ospitate dal servizio di analisi, che potevano causare l'escalation dei privilegi.

The cluster’s otpCookie was leaked to users with Full Admin role on API endpoint serverGroups and both Cluster Admin and Full Admin on API endpoint engageCluster2. This could be used to elevate privileges

Calling cURL via SQL++ (N1QL) using the Query Service to the localhost’s /diag/eval endpoint wasn’t fully prevented.

The SQL++ (N1QL) cURL allowlist protection in the Query Service, wasn’t sufficient in preventing accessing restricted hosts.

Calling cURL via SQL++ (N1QL) via the Eventing Service to the local host’s /diag/eval endpoint wasn’t fully prevented.

Un evento di registrazione ha causato la fuoriuscita delle credenziali di amministrazione interne di @ns_server in forma codificata in diag.log.

The private key used for Cross Datacenter Replication (XDCR) was leaked in the goxdcr.log

La falla in curl fa andare in overflow un buffer basato su heap nell'handshake del proxy SOCKS5.

Le applicazioni che utilizzano le funzioni DH_generate_key() per generare una chiave X9.42 DH e le applicazioni che utilizzano DH_check_pub_key(), DH_check_pub_key_ex() o EVP_PKEY_public_check() per verificare una chiave X9.42 DH o i parametri X9.42 DH possono subire lunghi ritardi. Se la chiave o i parametri da verificare sono stati ottenuti da una fonte non attendibile, ciò può portare a un Denial of Service.

Il protocollo HTTP/2 consente di negare il servizio perché l'annullamento della richiesta può azzerare rapidamente molti flussi.

Il protocollo HTTP/2 consente di negare il servizio perché l'annullamento della richiesta può azzerare rapidamente molti flussi.

Una vulnerabilità in OpenSSL relativa alla verifica delle catene di certificati X.509 che includono vincoli di policy, che consentirebbe agli aggressori di sfruttare questa vulnerabilità creando una catena di certificati dannosa che innesca un uso esponenziale delle risorse computazionali, portando a un attacco denial-of-service (DoS) sui sistemi interessati.

Un flusso HTTP/2 creato in modo malevolo potrebbe causare un consumo eccessivo di CPU nel decodificatore HPACK, sufficiente a causare una negazione del servizio da un numero ridotto di piccole richieste.

La confusione di tipo in V8 di Google Chrome precedente alla versione 114.0.5735.110 consentiva a un utente remoto di sfruttare potenzialmente la corruzione dell'heap tramite una pagina HTML modificata.

Aggiornare OpenJDK alla versione 11.0.19 per risolvere numerosi CVE.

The Couchbase Server Windows UI allows an attacker to traverse the filesystem and display files that Couchbase has access to. This vulnerability doesn’t require any authentication. It’s exploitable with just appending folders/files to the Couchbase Server admin UI’s URL.

Un utente malintenzionato può facilmente mandare in crash un server memcached collegandosi al server e iniziando a inviare comandi di grandi dimensioni.

La chiave privata viene trasmessa al file debug.log quando si aggiunge un nodo precedente alla versione 7.0 al cluster 7.2.

Nelle versioni precedenti alla 4.1.86.Final, può essere sollevato uno StackOverflowError durante l'analisi di un messaggio malformato a causa di una ricorsione infinita.

The FTS stats endpoint at /api/nsstats does not implement correct authentication, so it is possible to view the names of Couchbase Server buckets, the names of FTS indexes and configuration of FTS indexes without authentication. The contents of the buckets and indexes are not exposed.

Durante il fallimento di un'unione di nodi, le credenziali non redatte dell'utente che effettua la richiesta REST possono trapelare nei file di log.

During the start of a couchbase server node there is a short time period where the security cookie is set to “nocookie” which lacks access controls over the Erlang distribution protocol. If an attacker connects to this protocol during this period, they can execute arbitrary code remotely on any cluster node at any point of time until their connection is dropped. The executed code will be running with the same privileges as the Couchbase Server.

L'esaurimento delle risorse di Couchbase Analytics Service può verificarsi a causa della mancanza di un controllo che impedisca l'uso di array profondamente annidati.

Un corpo di richiesta HTTP estremamente grande (o non limitato) può causare un errore OOM (out-of-memory) al servizio di backup.

The v8 Javascript engine as used in the Couchbase Server Eventing Service, View Engine, XDCR and N1QL UDFs has been updated as there’s a type confusion in versions prior to 99.0.4844.84 which allowed a remote attacker to potentially exploit heap corruption via a crafted request.

Un utente malintenzionato può utilizzare i file Parquet, utilizzati facoltativamente da Couchbase Analytics Service, per causare un Denial of Service (DoS) se i file dannosi contengono valori impropri nell'intestazione della pagina del file (ad esempio, valori negativi laddove ci si aspetta un valore positivo). Questo problema viene risolto aggiornando la libreria Apache Parquet a una versione successiva.

When using the tls/ssl feature in couchbase server, it is possible to bypass client authentication in certain situations. Specifically, any application using the ssl/tls/dtls server, and the client certification option “{verify, verify_peer}” are affected by this vulnerability. Corrections have been released on the supported tracks with patches 23.3.4.15, 24.3.4.2, and 25.0.2 of the erlang/OTP runtime. Only clusters using certificate-based authentication are affected.

Alcuni rari arresti anomali potrebbero causare la fuoriuscita della chiave privata del certificato generato nei file di log.

Aggiornato il linguaggio di programmazione Go e le librerie associate utilizzate in diversi servizi di Couchbase Server alle versioni 1.17.9+ o 1.18.1+ per risolvere numerosi CVE.

jackson-databind, before 2.13.0 allows a Java StackOverflow exception and denial of service via a large depth of nested objects. This library is used by the Couchbase Server Analytics Service.

Updated openssl to fix a flaw in an openssl component, c_rehash. This script scans directories and takes a hash value of each .pem and .crt file in the directory. It then creates symbolic links for each of the files named by the hash value. It has a flaw that allows command injection in the script.

In Couchbase Server 7.1.0 and later it’s possible to provide a passphrase to Couchbase Server to unlock an encrypted TLS private key. This passphrase was found to be leaked in the log files as a Base64 encoded string when one of the Couchbase services, other than the Data Service, was starting up. This affects the Index Service, Query Service, Analytics Service, Backup Service and Eventing Service if the optional encrypted TLS keys feature is used. Note, an attacker needs to have access to the logs as well as the private key to be able to perform attacks such as performing a man in the middle attack or decrypting network communication. Using operating system protections to restrict access to these files can be an effective mitigation strategy.

Ramda 0.27.0 and earlier allows attackers to compromise integrity or availability of application via supplying a crafted object (that contains an own property “{}proto{}”) as an argument to the function, known as prototype pollution. Prototype pollution type attacks allow bypassing input validation and triggering unexpected javascript execution.

js-beautify has a dependency with a known vulnerability, Minimist. Minimist <=1.2.5 is vulnerable to Prototype Pollution via file index.js, function setKey() (lines 69-95). Prototype pollution attacks allow bypassing input validation and triggering unexpected javascript execution.

Quando si creano indici secondari con Couchbase Server Analytics Service, ci sono alcune convalide sui campi indicizzati che vengono segnalate all'utente e registrate. Il messaggio di errore con codice ASX0013 viene utilizzato in più percorsi per segnalare e registrare la presenza di un nome di campo duplicato. I nomi dei campi in questi messaggi di convalida registrati non sono stati redatti. Anche gli errori con il codice ASX1079 hanno nomi di campi che non vengono redatti.

Se non si riesce a stabilire una connessione TLS per un collegamento remoto di Analytics configurato con encryption=full, il runtime cerca di scoprire la porta TLS (non predefinita) tentando una connessione non TLS al cluster remoto, utilizzando SCRAM-SHA per l'autenticazione. Sebbene le credenziali non siano condivise quando SCRAM-SHA, non ci si può aspettare che il sistema declassi il livello di crittografia prescritto per una connessione TLS. Questo meccanismo di ripiego è stato rimosso e, se non si riesce a stabilire inizialmente una connessione TLS, il CONNECT LINK fallirà semplicemente finché non verrà fornita la porta TLS corretta come parte della configurazione del link.

If the backup service fails to log an audit message, it leaks the audit log data into the backup_service.log which isn’t redacted.

Il pacchetto golang.org/x/text/encoding/unicode potrebbe portare il decodificatore UTF-16 a entrare in un ciclo infinito, causando l'arresto del programma o l'esaurimento della memoria.

Il couchbase-cli genera un processo erlang di breve durata che ha la password master come argomento del processo, il che significa che se qualcuno ottiene l'elenco dei processi in quel momento avrà la password master. Questo riguarda solo i cluster di Couchbase Server che utilizzano la funzione di gestione dei segreti.

Se un ruolo RBAC contiene un'autorizzazione a livello di collezione (ad esempio, query_select[src:_default:Collection1]) e il nome della collezione viene eliminato e ricreato nel bucket, l'autorizzazione a livello di collezione sarà ancora valida. Ciò consente all'utente con il ruolo di accedere alla raccolta, anche se la sua autorizzazione dovrebbe essere stata rimossa quando la raccolta è stata cancellata.

Nelle versioni interessate di Couchbase Server, le impostazioni interne di XDCR possono essere modificate senza alcuna autenticazione.

In affected versions of Couchbase Server, the Erlang “cookie” is passed via a command-line argument to ‘erl’ when using the ‘server-eshell’ command; this leaked the “cookie” to all who could read the ‘couchbase-cli’ process arguments. The cookie should remain secret as it can be used to perform administrative tasks in the cluster.

È stata riscontrata una falla in Python. Una risposta HTTP gestita in modo improprio nel codice client HTTP di Python può consentire a un aggressore remoto, che controlla il server HTTP, di far entrare lo script client in un ciclo infinito, consumando tempo di CPU. Questo problema riguarda solo i cluster che utilizzano la funzione di anteprima per gli sviluppatori, Analytics UDFs.

Un errore durante il caricamento di un bucket di campioni (beer-sample, gamesim-sample, travel-sample) può far trapelare la password dell'utente amministratore interno @ns_server nei log (debug.log, error.log, info.log, reports.log). L'account @ns_server può essere usato per eseguire azioni amministrative.

Durante l'aggiunta di nodi al cluster, un arresto anomalo di Cluster Manager (ns_server) può causare la fuoriuscita della chiave privata nei file di registro. Chi ha accesso ai file di registro può essere in grado di decifrare le connessioni di rete sicure al cluster. Se si utilizza TLS, le credenziali degli utenti e delle applicazioni che accedono al cluster possono essere acquisite.

Diagnostic endpoints such as diag/eval are restricted and can only be executed from the loopback network. However, the checks put in place to address CVE-2018-15728 do not correctly check if a “X-Forwarded-For” header contains a loopback address. This header can be manipulated to workaround the loopback restriction.

La vulnerabilità è limitata alle richieste provenienti da reti private e spazi di indirizzi condivisi, secondo RFC6890.

Per poter inviare con successo richieste a questi endpoint, un utente deve disporre di pieni privilegi amministrativi, indipendentemente dall'intestazione "X-Forwarded-For" utilizzata.

Una soluzione a questo problema consiste nel bloccare le richieste ai nodi di Couchbase Server che contengono intestazioni "X-Forwarded-For" in ambienti in cui non sono richieste.

Riconoscimento: Mucahit Karadag / PRODAFT

The Index Service runs several network processes, Queryport, Dataport and Adminport. These are used to communicate with other Couchbase services. These processes take part in node to node communication, but do not communicate directly with SDK applications. In the affected versions of Couchbase Server, these network processes do not enforce authentication, so will process requests sent by unauthenticated users.

Il server Queryport può rispondere a un utente non autenticato con i risultati della scansione dell'indice.

Il server Dataport può consentire a un utente non autenticato di modificare i dati indicizzati.

Il server Adminport può consentire a un utente non autenticato di eseguire operazioni DDL (come la creazione e la cancellazione di indici).

Possibile soluzione: Poiché queste porte sono utilizzate solo per la comunicazione interna di Couchbase Server, qualsiasi connessione/comunicazione con nodi e processi diversi da Couchbase Server può essere disabilitata a livello di rete.

Gli utenti non autenticati possono effettuare una chiamata API REST al gestore del cluster. Ogni richiesta http che non è stata vista prima dal cluster manager porta alla creazione di una nuova metrica. Ogni nuova metrica richiede un po' di memoria e di spazio su disco, il che può creare una perdita di memoria e di spazio su disco. Se vengono utilizzate risorse sufficienti, un nodo di Couchbase Server potrebbe fallire.

Quando Sync Gateway è configurato per l'autenticazione con Couchbase Server utilizzando certificati client X.509, le credenziali di amministrazione fornite all'Admin REST API vengono ignorate, con conseguente escalation dei privilegi per gli utenti non autenticati. L'API REST pubblica non è interessata da questo problema.

Soluzione: Sostituire l'autenticazione basata su certificati X.509 con l'autenticazione con nome utente e password all'interno della configurazione di bootstrap.

Gli amministratori che aggiungono un nodo non fidato a un cluster potrebbero inavvertitamente rischiare di trasmettere il cookie del cluster che dovrebbe rimanere segreto.

This can be addressed by deploying TLS encryption with Certificate Authority signed certificates. When using TLS, a trusted certificate is required to be present on the incoming node from Couchbase Server version 7.1.0.

Riconoscimento: Ofir Hamam, security researcher at EY Israel’s Advanced Security Center

Couchbase Operator 2.2.0 introduced an optimization that simplified log collection. When logs are collected, the support tool – “cbopinfo” – is used to collect Kubernetes resources necessary to gain insight into intended resource state, and current resource status. Prior to the affected versions, secret data was redacted, however this functionality was not retained in the new collection method. As a result, logs would have erroneously contained any passwords, tokens, and private keys within the scope of the log collection. By default, this scope will be limited to the Kubernetes namespace in which the Couchbase Server cluster under inspection resides. The exception to this is if the –system flag was specified, in which case all secrets on the platform will have been exposed. Logs are used to identify and remediate customer issues, and therefore only customers that have supplied logs, with the specified tool versions, are affected. Couchbase will ensure that all affected logs which have been provided are redacted.

Un problema critico nell'utilità Apache Log4J utilizzata da Couchbase Analytics Service richiede un aggiornamento per prevenire una potenziale esecuzione di codice remoto (RCE) e l'estrazione di dati sensibili.

Le credenziali del bucket utilizzate da Sync Gateway per leggere e scrivere i dati in Couchbase Server venivano memorizzate in modo insicuro nei metadati dei documenti di sincronizzazione scritti nel bucket. Gli utenti con accesso in lettura potevano utilizzare queste credenziali per ottenere l'accesso in scrittura. Il problema non riguarda i cluster in cui Sync Gateway è autenticato con certificati client x.509. Questo problema non riguarda nemmeno i cluster in cui l'accesso al bucket condiviso non è abilitato su Sync Gateway.

Remote Cluster XDCR credentials can get leaked in debug logs. Config key tombstone purging was added in Couchbase Server 7.0.0. This issue happens when a config key, which is being logged, has a tombstone purger time-stamp attached to it.

As part of a cbcollect_info log collection, Couchbase Server collects the process info of all the processes running in the Erlang VM. The issue occurs when the cluster manager forwards an HTTP request from the pluggable UI (query workbench, etc.) to the specific service. In the backtrace, the Basic Auth Header included in the HTTP request, has the “@” user credentials of the node processing the UI request. For the issue to occur, the process info has to be triggered at the exact moment when a pluggable UI request is being serviced by the cluster manager.

È stato rilevato un problema in urllib3 prima della versione 1.26.5, utilizzato dagli strumenti a riga di comando di Couchbase Server. Quando a questi strumenti viene fornito un URL contenente molti caratteri @ nel componente authority, l'espressione regolare authority presenta un backtracking catastrofico, causando un denial of service dello strumento a riga di comando se un URL viene passato come parametro o reindirizzato tramite un redirect HTTP.

Nel pacchetto di crittografia precedente alla versione 3.3.2 per Python, utilizzato dagli strumenti a riga di comando di Couchbase Server, alcune sequenze di chiamate di aggiornamento per crittografare simmetricamente valori multi-GB potrebbero causare un overflow di interi e un buffer overflow in tale strumento.

Questo può causare l'indisponibilità del servizio dati. Si consiglia di utilizzare un firewall per consentire solo al traffico di rete delle applicazioni di comunicare con il cluster di Couchbase Server.

Questo può causare l'indisponibilità del servizio dati. Si consiglia di utilizzare un firewall per consentire solo al traffico di rete delle applicazioni di comunicare con il cluster di Couchbase Server.

Se un server LDAP o Active Directory, utilizzato per l'autenticazione esterna, è configurato in modo da consentire binding non autenticati non sicuri, Couchbase Server Cluster Manager consentirà l'autenticazione di un utente esterno con una password vuota.

I server LDAP possono essere configurati in modo da rifiutare le richieste di Bind non autenticate con un resultCode di "unwillingToPerform" per evitare che ciò avvenga.

Risolti diversi problemi di sicurezza in OpenSSL, uno dei quali potrebbe causare l'arresto anomalo del server TLS in caso di invio di un messaggio ClientHello di rinegoziazione creato male da un client.

Problema in Angular utilizzato dall'interfaccia utente di Couchbase che può causare una negazione del servizio modificando la funzione merge().

Le query N1QL Common Table Expression non rispettavano correttamente i controlli di sicurezza RBAC, consentendo l'accesso in lettura a utenti che non disponevano dell'autorizzazione richiesta.

A rare condition that is triggered when Auditing is enabled for the View Engine and Node to Node encryption is enabled. If Couchbase Server is unable to check the remote hostname and port of an incoming internal command (view-merge request) over TLS, an error is logged which contains unredacted Base64 encoded authentication information for an internal user with administrator privileges, @ns_server.

A temporary workaround is to disable View Engine auditing or Node to Node Encryption until an upgrade can be performed.

Couchbase Server was logging the temporary session cookie for a user when audited events containing a session ID were logged to the audit log and debug.log. An attacker with access to logging data could use this to impersonate an authenticated user.

A security issue in the buger/jsonparser (JSON parser for Go) library allows an attacker to cause a denial of service (DOS) in the Couchbase Server Search Service.

The Apache HttpClient, as used by the Couchbase Server Analytics Service, in versions prior to version 4.5.13 and 5.0.3 can misinterpret malformed authority component in request URIs passed to the library as java.net.URI object and pick the wrong target host for request execution.

The Python urllib3 library which is used by the requests Python library that in turn is used by the Couchbase CLI has a security issue in urllib3 versions before 1.24.2. The library mishandles certain cases where the desired set of CA certificates is different from the OS store of CA certificates, which results in SSL connections succeeding in situations where a verification failure is the correct outcome.

When the Couchbase Server REST endpoint receives an unknown request, the request is logged as an error in the debug.log and info.log. The log includes unredacted Base64-encoded authentication information. The error message also is shown in the logs tab of the UI.

Take care to manually redact any logs exported from the cluster on versions affected by this issue. Upgrading the cluster will automatically prevent the @ns_server password appearing in future log entries.

Internal rest calls (/listCreateTokens, /listRebalanceTokens, /listMetadataTokens) are getting logged into the indexer.log with unredacted Base64 encoded authentication information for internal users with administrator privileges, @cbq-engine-cbauth and @index-cbauth.

Communication between Erlang nodes is done by exchanging a shared secret (aka “magic cookie”). There are cases where the magic cookie is included in the content of the logs. An attacker can use the cookie to attach to an Erlang node and run OS-level commands on the system running the Erlang node.

Riconoscimento: Ofir Hamam, security researcher at EY Israel’s Advanced Security Center

The Slowloris is a type of denial-of-service attack that allows an attacker to take down a target web endpoint by sending requests that periodically send additional headers and never terminate. Reducing the timeout on receipt of HTTP headers is an effective mitigation of this attack and this is the approach taken in the cluster management and views REST endpoints.

L'interfaccia utente di Full Text Seach utilizza AngularJS 1.4.7, per il quale sono note alcune vulnerabilità di sicurezza di alto livello. Queste librerie AngularJS sono state aggiornate a una versione più recente di Angular che ha risolto queste vulnerabilità.

Java 6 (JDK 1.6 – the older SDK baseline version) did not support hostname verification out of the box. Once the SDK moved to Java 7 (Java 1.7) as the baseline, adding support was possible. This happened in jvm-core 1.7.11 (which translates to java-client 2.7.11). It is not possible in earlier versions to manually add it as a workaround, because the facilities to customize it accordingly are not exposed. Note that in order to not break applications that rely on the old behavior, hostname verification is still disabled by default, but can be enabled in the SDK configuration (CouchbaseEnvironment class).

L'endpoint REST /settings esposto dal processo del proiettore è un endpoint che gli amministratori possono utilizzare per varie attività, come l'aggiornamento della configurazione e la raccolta di profili di prestazioni. L'endpoint non era autenticato ed è stato aggiornato per consentire solo agli utenti autenticati di accedere a queste API amministrative.

Riconoscimento: Team di sicurezza Apple

The Server REST API responds with a {{WWW-Authenticate}} header to unauthenticated requests which allows the user to authenticate via a user / password dialog in a web browser. The problem is that these credentials are cached by the browser which allows a hacker to use CSRF to attack a cluster in the event that an administrator has used their browser to check the results of a REST API request.
This behavior can be disabled by using couchbase-cli (couchbase-cli setting-security –set –disable-www-authenticate 1 -c localhost:8091 -u -p ). This is not disabled by default as it might break existing tools or scripts.

Riconoscimento: Team di sicurezza Apple

Some enterprises require that REST API endpoints include security-related headers in REST responses. Headers such as X-Frame-Options and X-Content-Type-Options are generally advisable, however, some information security professionals additionally look for X-Permitted-Cross-Domain-Policies and X-XSS-Protection, which are more generally applicable to HTML endpoints, to be included too. These headers are now included in responses from the Couchbase Server Views REST API (port 8092).

An attacker with access to the Sync Gateway’s public REST API was able to issue additional N1QL statements and extract sensitive data or call arbitrary N1QL functions through the parameters “startkey” and “endkey” on the “_all_docs” endpoint. By issuing nested queries with CPU-intensive operations they may have been able to cause increased resource usage and denial of service conditions. The _all_docs endpoint is not required for Couchbase Mobile replication, and external access to this REST endpoint has been blocked to mitigate this issue.

Riconoscimento: Denis Werner/HiSolutions AG

Le informazioni di sistema inviate a Couchbase come parte di una segnalazione di bug includevano i nomi utente di tutti gli utenti attualmente connessi al sistema, anche se il registro era stato redatto per motivi di privacy.

Questo problema è stato risolto in modo che i nomi utente siano etichettati correttamente nei registri e vengano eliminati quando i registri vengono redatti.

Il servizio di eventing espone un profilo di diagnostica del sistema tramite un endpoint HTTP che non richiede credenziali su una porta destinata esclusivamente al traffico interno. Il problema è stato risolto e ora l'accesso richiede credenziali valide.

Couchbase Server exposed the ‘/diag/eval’ endpoint, which, by default, is available on TCP/8091 and/or TCP/18091. Autenticato users that have ‘Full Admin‘ role assigned could send arbitrary Erlang code to the ‘diag/eval’ endpoint of the API and the code would subsequently be executed in the underlying operating system with privileges of the user which was used to start Couchbase.

Riconoscimento: Team di sicurezza Apple

Il cookie utilizzato per la comunicazione all'interno del nodo non è stato generato in modo sicuro. Couchbase Server utilizza erlang:now() per alimentare il PRNG, il che comporta un piccolo spazio di ricerca per potenziali semi casuali che potrebbero essere utilizzati per forzare il cookie ed eseguire codice contro un sistema remoto.

Riconoscimento: Team di sicurezza Apple

Secondary indexing encodes the entries to be indexed using collatejson. When index entries contained certain characters like \t, , it caused a buffer overrun as the encoded string would be much larger than accounted for, causing the indexer service to crash and restart. This has been remedied now to ensure the buffer always grows as needed for any input.

Riconoscimento: D-Trust GmbH

Quando un certificato di cluster remoto non valido veniva inserito come parte della creazione del riferimento, XDCR non analizzava e controllava la firma del certificato. Accettava quindi il certificato non valido e tentava di utilizzarlo per stabilire connessioni future al cluster remoto. Questo problema è stato risolto. Ora XDCR controlla accuratamente la validità del certificato e impedisce la creazione di un riferimento al cluster remoto con un certificato non valido.

In versions of Couchbase Server prior to 5.0, the bucket named “default” was a special bucket that allowed read and write access without authentication. As part of 5.0, the behavior of all buckets including “default” were changed to only allow access by authenticated users with sufficient authorization. However, users were allowed unauthenticated and unauthorized access to the “default” bucket if the properties of this bucket were edited. This has been fixed.