Couchbaseアラート

この脆弱性により、複数のプロトコルを介してネットワークにアクセスできる認証されていない攻撃者が、Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Editionを侵害する可能性があります。この脆弱性の攻撃が成功すると、Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Editionのアクセス可能なデータの一部に対して、不正な更新、挿入、削除アクセスが行われる可能性があります。

The DES and Triple DES ciphers, as used in the TLS, SSH, and IPSec protocols and other protocols and products, have a birthday bound of approximately four billion blocks, which makes it easier for remote attackers to obtain cleartext data via a birthday attack against a long-duration encrypted session, as demonstrated by an HTTPS session using Triple DES in CBC mode, aka a “Sweet32” attack.

着信HTTPリクエストのHostヘッダーが、Locationヘッダーに盲目的にコピーされた。

SDK will negotiate with SCRAM-SHA by default which allows for a MITM to negotiate for PLAIN credentials

120.0.6099.224より前のGoogle ChromeのV8における境界外メモリアクセスにより、リモートの攻撃者が細工したHTMLページ経由でヒープ破壊を悪用する可能性がありました。

python-cryptography パッケージに不具合が見つかりました。この問題により、リモートの攻撃者が RSA 鍵交換を使用する TLS サーバーでキャプチャされたメッセージを解読できる可能性があり、機密データやセンシティブなデータの漏洩につながる可能性があります。

The Query stats endpoint did not implement correct authentication, making it possible to view the stats information

データリーダー権限を持つユーザーが、大量のドキュメントを要求するGetKeyを送信することで、データサービスを停止させ、OOM（Out-of-Memory）エラーを引き起こす可能性がありました。

A user with Data Reader role could lock a Data Service reader thread for a significant time by requesting a high number of keys and potentially lock up all reader threads by issuing the same command on multiple connections

ネットワークポート9119および9121は、Analyticsサービスによってホストされている認証されていないRMIサービスポートであり、権限昇格の原因となる可能性がありました。

The cluster’s otpCookie was leaked to users with Full Admin role on API endpoint serverGroups and both Cluster Admin and Full Admin on API endpoint engageCluster2. This could be used to elevate privileges

Calling cURL via SQL++ (N1QL) using the Query Service to the localhost’s /diag/eval endpoint wasn’t fully prevented.

The SQL++ (N1QL) cURL allowlist protection in the Query Service, wasn’t sufficient in preventing accessing restricted hosts.

Calling cURL via SQL++ (N1QL) via the Eventing Service to the local host’s /diag/eval endpoint wasn’t fully prevented.

ロギングイベントにより、@ns_serverの内部管理者認証情報がエンコードされた形でdiag.logに流出しました。

The private key used for Cross Datacenter Replication (XDCR) was leaked in the goxdcr.log

curlの欠陥は、SOCKS5プロキシハンドシェイクのヒープベースのバッファをオーバーフローさせる。

関数DH_generate_key()を使用してX9.42 DH鍵を生成するアプリケーション、および関数DH_check_pub_key()、DH_check_pub_key_ex()、またはEVP_PKEY_public_check()を使用してX9.42 DH鍵またはX9.42 DHパラメータをチェックするアプリケーションでは、長い遅延が発生する可能性がある。チェック対象の鍵やパラメータが信頼できないソースから取得されたものである場合、 サービス拒否につながる可能性がある。

HTTP/2プロトコルは、リクエストのキャンセルが多くのストリームを素早くリセットできるため、サービス拒否を可能にする。

HTTP/2プロトコルは、リクエストのキャンセルが多くのストリームを素早くリセットできるため、サービス拒否を可能にする。

OpenSSL には、ポリシー制約を含む X.509 証明書チェーンの検証に関する脆弱性が存在します。この脆弱性を悪用すると、攻撃者は計算リソースを指数関数的に使用する悪意のある証明書チェーンを作成し、影響を受けるシステムへのサービス運用妨害 (DoS) 攻撃を引き起こす可能性があります。

悪意を持って細工された HTTP/2 ストリームは、HPACK デコーダーに過剰な CPU 消費を引き起こし、少数の小さなリクエストからサービス拒否を引き起こすのに十分な可能性があります。

114.0.5735.110より前のGoogle ChromeのV8における型の混乱により、リモートの攻撃者が細工したHTMLページを介してヒープ破壊を悪用する可能性がありました。

多数の CVE を解決するため、OpenJDK をバージョン 11.0.19 に更新。

The Couchbase Server Windows UI allows an attacker to traverse the filesystem and display files that Couchbase has access to. This vulnerability doesn’t require any authentication. It’s exploitable with just appending folders/files to the Couchbase Server admin UI’s URL.

悪意のあるユーザーは、サーバーに接続し、大きなコマンドを送り始めることで、memcachedサーバーを簡単にクラッシュさせることができる。

7.0以前のノードを7.2クラスタに追加すると、秘密鍵がdebug.logにリークされます。

4.1.86.Finalより前のバージョンでは、不正な細工が施されたメッセージの解析時に、無限再帰によりStackOverflowErrorが発生することがありました。

The FTS stats endpoint at /api/nsstats does not implement correct authentication, so it is possible to view the names of Couchbase Server buckets, the names of FTS indexes and configuration of FTS indexes without authentication. The contents of the buckets and indexes are not exposed.

ノードの結合が失敗すると、REST リクエストを行ったユーザーの修正されていない認証情報がログファイルに漏れる可能性があります。

During the start of a couchbase server node there is a short time period where the security cookie is set to “nocookie” which lacks access controls over the Erlang distribution protocol. If an attacker connects to this protocol during this period, they can execute arbitrary code remotely on any cluster node at any point of time until their connection is dropped. The executed code will be running with the same privileges as the Couchbase Server.

深くネストされた配列の使用を防止するチェックがないため、Couchbase Analyticsサービスのリソース枯渇が発生する可能性があります。

HTTPリクエスト・ボディが極端に大きい（またはバインドされていない）場合、バックアップ・サービスはOOM（メモリ不足）エラーを引き起こす可能性があります。

The v8 Javascript engine as used in the Couchbase Server Eventing Service, View Engine, XDCR and N1QL UDFs has been updated as there’s a type confusion in versions prior to 99.0.4844.84 which allowed a remote attacker to potentially exploit heap corruption via a crafted request.

攻撃者は、Couchbase Analytics Serviceでオプションとして使用されるParquetファイルを使用して、悪意のあるファイルがファイルページヘッダーに不適切な値（例えば、正の値が期待されるところ負の値）を含む場合、サービス拒否（DoS）を引き起こす可能性があります。 これは、Apache Parquetライブラリを新しいバージョンに更新することで解決します。

When using the tls/ssl feature in couchbase server, it is possible to bypass client authentication in certain situations. Specifically, any application using the ssl/tls/dtls server, and the client certification option “{verify, verify_peer}” are affected by this vulnerability. Corrections have been released on the supported tracks with patches 23.3.4.15, 24.3.4.2, and 25.0.2 of the erlang/OTP runtime. Only clusters using certificate-based authentication are affected.

稀に発生するクラッシュにより、生成された証明書の秘密鍵がログファイルに漏れることがある。

複数のCouchbase Serverサービスで使用されているGoプログラミング言語と関連ライブラリをバージョン1.17.9+または1.18.1+に更新し、多数のCVEを解決しました。

jackson-databind, before 2.13.0 allows a Java StackOverflow exception and denial of service via a large depth of nested objects. This library is used by the Couchbase Server Analytics Service.

Updated openssl to fix a flaw in an openssl component, c_rehash. This script scans directories and takes a hash value of each .pem and .crt file in the directory. It then creates symbolic links for each of the files named by the hash value. It has a flaw that allows command injection in the script.

In Couchbase Server 7.1.0 and later it’s possible to provide a passphrase to Couchbase Server to unlock an encrypted TLS private key. This passphrase was found to be leaked in the log files as a Base64 encoded string when one of the Couchbase services, other than the Data Service, was starting up. This affects the Index Service, Query Service, Analytics Service, Backup Service and Eventing Service if the optional encrypted TLS keys feature is used. Note, an attacker needs to have access to the logs as well as the private key to be able to perform attacks such as performing a man in the middle attack or decrypting network communication. Using operating system protections to restrict access to these files can be an effective mitigation strategy.

Ramda 0.27.0 and earlier allows attackers to compromise integrity or availability of application via supplying a crafted object (that contains an own property “{}proto{}”) as an argument to the function, known as prototype pollution. Prototype pollution type attacks allow bypassing input validation and triggering unexpected javascript execution.

js-beautify has a dependency with a known vulnerability, Minimist. Minimist <=1.2.5 is vulnerable to Prototype Pollution via file index.js, function setKey() (lines 69-95). Prototype pollution attacks allow bypassing input validation and triggering unexpected javascript execution.

Couchbase Server Analyticsサービスでセカンダリインデックスを作成するとき、ユーザーに報告され、ログに記録されるインデックスされたフィールド上のいくつかの検証があります。コードASX0013のエラーメッセージは、フィールド名が重複していることを報告し、ログに記録するために複数のパスで使用されます。これらのログに記録された検証メッセージのフィールド名は編集されません。また、コード ASX1079 のエラーは、フィールド名が編集されません。

encryption=fullで設定されたAnalyticsリモートリンクのTLS接続の確立に失敗した場合、ランタイムは認証にSCRAM-SHAを使用してリモートクラスタへの非TLS接続を試みることで、(デフォルト以外の)TLSポートの検出を試みます。SCRAM-SHAでは認証情報は共有されませんが、システムがTLS接続を指定する所定の暗号化レベルをダウングレードするとは考えられません。このフォールバックメカニズムは削除され、最初にTLS接続を確立できなかった場合、リンク設定の一部として正しいTLSポートが提供されるまで、CONNECT LINKは単に失敗します。

If the backup service fails to log an audit message, it leaks the audit log data into the backup_service.log which isn’t redacted.

golang.org/x/text/encoding/unicode パッケージで、UTF-16 デコーダが無限ループに入り、プログラムがクラッシュしたりメモリ不足になったりする可能性がありました。

couchbase-cliは、プロセス引数としてマスターパスワードを持つ非常に短命のerlangプロセスをスポーンし、これは、誰かがその時点でプロセスリストを取得した場合、彼らはマスターパスワードを持っていることを意味します。これは、シークレット管理機能を利用するCouchbase Serverクラスタにのみ影響します。

RBACロールにコレクションレベルのパーミッション（例えば、query_select[src:_default:Collection1]）が含まれている場合、コレクション名が削除され、バケットに再作成されても、コレクションレベルのパーミッションは有効です。これにより、コレクションが削除されたときにパーミッションが削除されたはずなのに、そのロールを持つユーザがコレクションにアクセスできるようになります。

Couchbase Serverの影響を受けるバージョンでは、XDCRの内部設定は、認証なしで変更することができます。

In affected versions of Couchbase Server, the Erlang “cookie” is passed via a command-line argument to ‘erl’ when using the ‘server-eshell’ command; this leaked the “cookie” to all who could read the ‘couchbase-cli’ process arguments. The cookie should remain secret as it can be used to perform administrative tasks in the cluster.

Python に不具合が発見されました。PythonのHTTPクライアントコードでHTTPレスポンスが不適切に処理されると、HTTPサーバーを制御するリモートの攻撃者がクライアントスクリプトを無限ループに入らせ、CPU時間を消費させる可能性があります。この問題は、開発者プレビュー機能の Analytics UDF を使用しているクラスタにのみ影響します。

サンプルバケット(beer-sample, gamesim-sample, travel-sample)の読み込みに失敗すると、@ns_server の内部管理ユーザのパスワードがログ(debug.log, error.log, info.log, reports.log)に漏れることがあります。ns_serverアカウントを使用して管理操作を行うことができます。

クラスタノードの追加を実行中にクラスタマネージャ(ns_server)がクラッシュすると、秘密鍵がログファイルに流出する可能性があります。ログファイルにアクセスできる誰かが、クラスタへのセキュアなネットワーク接続を解読できる可能性があります。TLSが使用されている場合、クラスタにログインするユーザやアプリケーションの認証情報が取得される可能性があります。

Diagnostic endpoints such as diag/eval are restricted and can only be executed from the loopback network. However, the checks put in place to address CVE-2018-15728 do not correctly check if a “X-Forwarded-For” header contains a loopback address. This header can be manipulated to workaround the loopback restriction.

この脆弱性は、RFC6890に従って、プライベートネットワークと共有アドレス空間から発信されるリクエストに限定される。

これらのエンドポイントへのリクエストを成功裏に発行できるようにするには、「X-Forwarded-For」ヘッダーの使用に関係なく、ユーザーは完全な管理者権限を必要とする。

この問題の回避策は、"X-Forwarded-For "ヘッダが不要な環境では、"X-Forwarded-For "ヘッダを含むCouchbase Serverノードへのリクエストをファイアウォールすることです。

表彰される： ムカヒト・カラダグ / PRODAFT

The Index Service runs several network processes, Queryport, Dataport and Adminport. These are used to communicate with other Couchbase services. These processes take part in node to node communication, but do not communicate directly with SDK applications. In the affected versions of Couchbase Server, these network processes do not enforce authentication, so will process requests sent by unauthenticated users.

Queryportサーバは認証されていないユーザに対してインデックススキャン結果を応答することができます。

Dataportサーバーは、認証されていないユーザーがインデックスされたデータを変更することを許可することができます。

Adminport サーバは、認証されていないユーザが DDL 操作（インデックスの作成や削除など）を実行できるようにすることができます。

可能な回避策これらのポートは、Couchbase Serverの内部通信にのみ使用されるため、Couchbase Server以外のノードやプロセスとの接続/通信は、ネットワーク層で無効にすることができます。

認証されていないユーザはクラスタマネージャにREST APIコールを行うことができます。クラスタマネージャが以前に見たことのない各httpリクエストは、新しいメトリックの作成につながります。新しいメトリックはそれぞれメモリとディスクスペースを消費するため、メモリリークとディスクスペースリークが発生する可能性があります。十分なリソースが使用されると、Couchbase Serverノードが故障する可能性があります。

Sync GatewayがX.509クライアント証明書を使用してCouchbase Serverと認証するように構成されている場合、Admin REST APIに提供された管理者資格情報が無視され、認証されていないユーザーの権限昇格が発生します。パブリックREST APIは、この問題の影響を受けません。

回避策ブートストラップ構成内で、X.509証明書ベースの認証をユーザー名とパスワードによる認証に置き換える。

信頼されていないノードをクラスタに追加する管理者は、秘密のままであるべきクラスタクッキーを不注意で送信する危険性があります。

This can be addressed by deploying TLS encryption with Certificate Authority signed certificates. When using TLS, a trusted certificate is required to be present on the incoming node from Couchbase Server version 7.1.0.

表彰される： Ofir Hamam, security researcher at EY Israel’s Advanced Security Center

Couchbase Operator 2.2.0 introduced an optimization that simplified log collection. When logs are collected, the support tool – “cbopinfo” – is used to collect Kubernetes resources necessary to gain insight into intended resource state, and current resource status. Prior to the affected versions, secret data was redacted, however this functionality was not retained in the new collection method. As a result, logs would have erroneously contained any passwords, tokens, and private keys within the scope of the log collection. By default, this scope will be limited to the Kubernetes namespace in which the Couchbase Server cluster under inspection resides. The exception to this is if the –system flag was specified, in which case all secrets on the platform will have been exposed. Logs are used to identify and remediate customer issues, and therefore only customers that have supplied logs, with the specified tool versions, are affected. Couchbase will ensure that all affected logs which have been provided are redacted.

Couchbase Analytics Serviceで使用されるApache Log4Jユーティリティの重大な問題は、潜在的なリモートコード実行（RCE）と機密データの抽出を防ぐために更新が必要です。

Sync GatewayがCouchbase Serverのデータを読み書きするために使用するバケット認証情報は、バケットに書き込まれた同期ドキュメント内のメタデータに安全に保存されていませんでした。読み取りアクセス権を持つユーザーは、書き込みアクセス権を取得するためにこれらの資格情報を使用することができました。この問題は、Sync Gatewayがx.509クライアント証明書で認証されているクラスタには影響しません。また、この問題は Sync Gateway で共有バケットアクセスが有効になっていないクラスタには影響しません。

Remote Cluster XDCR credentials can get leaked in debug logs. Config key tombstone purging was added in Couchbase Server 7.0.0. This issue happens when a config key, which is being logged, has a tombstone purger time-stamp attached to it.

As part of a cbcollect_info log collection, Couchbase Server collects the process info of all the processes running in the Erlang VM. The issue occurs when the cluster manager forwards an HTTP request from the pluggable UI (query workbench, etc.) to the specific service. In the backtrace, the Basic Auth Header included in the HTTP request, has the “@” user credentials of the node processing the UI request. For the issue to occur, the process info has to be triggered at the exact moment when a pluggable UI request is being serviced by the cluster manager.

Couchbase Serverのコマンドラインツールで使用される1.26.5以前のurllib3に問題が発見されました。これらのツールに、authorityコンポーネントに多くの@文字を含むURLが提供されると、authority正規表現が壊滅的なバックトラックを示し、URLがパラメータとして渡されるか、HTTPリダイレクトを介してリダイレクトされた場合、コマンドラインツールのサービス拒否を引き起こします。

Couchbase Serverコマンドラインツールで使用されるPython用3.3.2以前の暗号化パッケージでは、複数GBの値を対称的に暗号化するための更新呼び出しの特定のシーケンスにより、そのツールで整数オーバーフローとバッファオーバーフローが発生する可能性があります。

これは、データサービスが利用できなくなる可能性があります。ファイアウォールを使用して、アプリケーションからのネットワークトラフィックのみがCouchbase Serverクラスタと通信できるようにすることをお勧めします。

これは、データサービスが利用できなくなる可能性があります。ファイアウォールを使用して、アプリケーションからのネットワークトラフィックのみがCouchbase Serverクラスタと通信できるようにすることをお勧めします。

外部認証に使用されるLDAPまたはActive Directoryサーバーが安全でない未認証バインドを許可するように設定されている場合、Couchbase Server Cluster Managerは空のパスワードで外部ユーザーを認証することを許可します。

LDAPサーバーは、resultCodeが "unwillingToPerform "の認証なしバインド(Unauthenticated Bind)リクエストに失敗するように設定することで、この発生を防ぐことができる。

そのうちのひとつは、クライアントから悪意を持って細工された再ネゴシエーションの ClientHello メッセージが送信された場合、TLS サーバーがクラッシュする可能性がある。

Couchbase UIで使用されているAngularで、merge()関数を変更することでサービス拒否を引き起こす可能性がある問題。

Common Table Expression N1QLクエリがRBACセキュリティ制御に正しく対応しておらず、必要な権限を持たないユーザーに読み取りアクセス権を与えていました。

A rare condition that is triggered when Auditing is enabled for the View Engine and Node to Node encryption is enabled. If Couchbase Server is unable to check the remote hostname and port of an incoming internal command (view-merge request) over TLS, an error is logged which contains unredacted Base64 encoded authentication information for an internal user with administrator privileges, @ns_server.

A temporary workaround is to disable View Engine auditing or Node to Node Encryption until an upgrade can be performed.

Couchbase Server was logging the temporary session cookie for a user when audited events containing a session ID were logged to the audit log and debug.log. An attacker with access to logging data could use this to impersonate an authenticated user.

A security issue in the buger/jsonparser (JSON parser for Go) library allows an attacker to cause a denial of service (DOS) in the Couchbase Server Search Service.

The Apache HttpClient, as used by the Couchbase Server Analytics Service, in versions prior to version 4.5.13 and 5.0.3 can misinterpret malformed authority component in request URIs passed to the library as java.net.URI object and pick the wrong target host for request execution.

The Python urllib3 library which is used by the requests Python library that in turn is used by the Couchbase CLI has a security issue in urllib3 versions before 1.24.2. The library mishandles certain cases where the desired set of CA certificates is different from the OS store of CA certificates, which results in SSL connections succeeding in situations where a verification failure is the correct outcome.

When the Couchbase Server REST endpoint receives an unknown request, the request is logged as an error in the debug.log and info.log. The log includes unredacted Base64-encoded authentication information. The error message also is shown in the logs tab of the UI.

Take care to manually redact any logs exported from the cluster on versions affected by this issue. Upgrading the cluster will automatically prevent the @ns_server password appearing in future log entries.

Internal rest calls (/listCreateTokens, /listRebalanceTokens, /listMetadataTokens) are getting logged into the indexer.log with unredacted Base64 encoded authentication information for internal users with administrator privileges, @cbq-engine-cbauth and @index-cbauth.

Communication between Erlang nodes is done by exchanging a shared secret (aka “magic cookie”). There are cases where the magic cookie is included in the content of the logs. An attacker can use the cookie to attach to an Erlang node and run OS-level commands on the system running the Erlang node.

表彰される： Ofir Hamam, security researcher at EY Israel’s Advanced Security Center

The Slowloris is a type of denial-of-service attack that allows an attacker to take down a target web endpoint by sending requests that periodically send additional headers and never terminate. Reducing the timeout on receipt of HTTP headers is an effective mitigation of this attack and this is the approach taken in the cluster management and views REST endpoints.

Full Text Seachのユーザーインターフェースには、いくつかの既知の深刻度の高いセキュリティ脆弱性が存在するAngularJS 1.4.7が使用されています。これらのAngularJSライブラリは、これらの脆弱性に対処したより新しいバージョンのAngularに更新されています。

Java 6 (JDK 1.6 – the older SDK baseline version) did not support hostname verification out of the box. Once the SDK moved to Java 7 (Java 1.7) as the baseline, adding support was possible. This happened in jvm-core 1.7.11 (which translates to java-client 2.7.11). It is not possible in earlier versions to manually add it as a workaround, because the facilities to customize it accordingly are not exposed. Note that in order to not break applications that rely on the old behavior, hostname verification is still disabled by default, but can be enabled in the SDK configuration (CouchbaseEnvironment class).

プロジェクタープロセスで公開される /settings REST エンドポイントは、管理者が設定の更新やパフォーマンスプロファイルの収集など、さまざまなタスクに使用できるエンドポイントです。このエンドポイントは認証されていませんでしたが、認証されたユーザーのみがこれらの管理APIにアクセスできるように更新されました。

表彰される： アップル・セキュリティ・チーム

The Server REST API responds with a {{WWW-Authenticate}} header to unauthenticated requests which allows the user to authenticate via a user / password dialog in a web browser. The problem is that these credentials are cached by the browser which allows a hacker to use CSRF to attack a cluster in the event that an administrator has used their browser to check the results of a REST API request.
This behavior can be disabled by using couchbase-cli (couchbase-cli setting-security –set –disable-www-authenticate 1 -c localhost:8091 -u -p ). This is not disabled by default as it might break existing tools or scripts.

表彰される： アップル・セキュリティ・チーム

Some enterprises require that REST API endpoints include security-related headers in REST responses. Headers such as X-Frame-Options and X-Content-Type-Options are generally advisable, however, some information security professionals additionally look for X-Permitted-Cross-Domain-Policies and X-XSS-Protection, which are more generally applicable to HTML endpoints, to be included too. These headers are now included in responses from the Couchbase Server Views REST API (port 8092).

An attacker with access to the Sync Gateway’s public REST API was able to issue additional N1QL statements and extract sensitive data or call arbitrary N1QL functions through the parameters “startkey” and “endkey” on the “_all_docs” endpoint. By issuing nested queries with CPU-intensive operations they may have been able to cause increased resource usage and denial of service conditions. The _all_docs endpoint is not required for Couchbase Mobile replication, and external access to this REST endpoint has been blocked to mitigate this issue.

表彰される： デニス・ヴェルナー/HiSolutions AG

バグレポートの一部としてCouchbaseに提出されたシステム情報には、プライバシーのためにログが編集されていたとしても、現在システムにログインしているすべてのユーザーのユーザー名が含まれていた。

これは、ログにユーザー名が適切にタグ付けされ、ログが再編集される際にハッシュアウトされるように修正された。

イベント発生サービスは、内部トラフィック専用に設定されたポートで、認証情報を必要としないHTTPエンドポイントを介してシステム診断プロファイルを公開します。これは改善され、アクセスするために有効な認証情報が必要になりました。

Couchbase Server exposed the ‘/diag/eval’ endpoint, which, by default, is available on TCP/8091 and/or TCP/18091. 認証済み users that have ‘Full Admin‘ role assigned could send arbitrary Erlang code to the ‘diag/eval’ endpoint of the API and the code would subsequently be executed in the underlying operating system with privileges of the user which was used to start Couchbase.

表彰される： アップル・セキュリティ・チーム

ノード内通信に使用されるクッキーは安全に生成されませんでした。Couchbase Serverはerlang:now()を使用してPRNGをシードし、その結果、潜在的なランダムなシードのための小さな検索空間が発生します。

表彰される： アップル・セキュリティ・チーム

Secondary indexing encodes the entries to be indexed using collatejson. When index entries contained certain characters like \t, , it caused a buffer overrun as the encoded string would be much larger than accounted for, causing the indexer service to crash and restart. This has been remedied now to ensure the buffer always grows as needed for any input.

表彰される： DトラストGmbH

無効なリモートクラスタ証明書が参照作成の一部として入力された場合、XDCRは証明書の署名を解析およびチェックしませんでした。そのため、XDCRは無効な証明書を受け入れ、その証明書を使用してリモートクラスタへの今後の接続を確立しようとしました。これは修正されました。XDCRは証明書の有効性を徹底的にチェックするようになり、無効な証明書でリモートクラスタ参照が作成されないようになりました。

In versions of Couchbase Server prior to 5.0, the bucket named “default” was a special bucket that allowed read and write access without authentication. As part of 5.0, the behavior of all buckets including “default” were changed to only allow access by authenticated users with sufficient authorization. However, users were allowed unauthenticated and unauthorized access to the “default” bucket if the properties of this bucket were edited. This has been fixed.