Couchbaseアラート

この脆弱性により、複数のプロトコルを介してネットワークにアクセスできる認証されていない攻撃者が、Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Editionを侵害する可能性があります。この脆弱性の攻撃が成功すると、Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Editionのアクセス可能なデータの一部に対して、不正な更新、挿入、削除アクセスが行われる可能性があります。

The DES and Triple DES ciphers, as used in the TLS, SSH, and IPSec protocols and other protocols and products, have a birthday bound of approximately four billion blocks, which makes it easier for remote attackers to obtain cleartext data via a birthday attack against a long-duration encrypted session, as demonstrated by an HTTPS session using Triple DES in CBC mode, aka a “Sweet32” attack.

着信HTTPリクエストのHostヘッダーが、Locationヘッダーに盲目的にコピーされた。

SDKはデフォルトでSCRAM-SHAとネゴシエートし、MITMがPLAINクレデンシャルをネゴシエートできるようにする。

120.0.6099.224より前のGoogle ChromeのV8における境界外メモリアクセスにより、リモートの攻撃者が細工したHTMLページ経由でヒープ破壊を悪用する可能性がありました。

python-cryptography パッケージに不具合が見つかりました。この問題により、リモートの攻撃者が RSA 鍵交換を使用する TLS サーバーでキャプチャされたメッセージを解読できる可能性があり、機密データやセンシティブなデータの漏洩につながる可能性があります。

Query statsエンドポイントに正しい認証が実装されていなかったため、統計情報を表示できませんでした。

データリーダー権限を持つユーザーが、大量のドキュメントを要求するGetKeyを送信することで、データサービスを停止させ、OOM（Out-of-Memory）エラーを引き起こす可能性がありました。

データ・リーダーのロールを持つユーザーは、多数のキーを要求することで、データ・サービスのリーダー・スレッドをかなりの時間ロックし、複数の接続で同じコマンドを発行することで、すべてのリーダー・スレッドをロックする可能性がある。

ネットワークポート9119および9121は、Analyticsサービスによってホストされている認証されていないRMIサービスポートであり、権限昇格の原因となる可能性がありました。

The cluster’s otpCookie was leaked to users with Full Admin role on API endpoint serverGroups and both Cluster Admin and Full Admin on API endpoint engageCluster2. This could be used to elevate privileges.

Calling cURL via SQL++ (N1QL) using the Query Service to the localhost’s / diag / eval endpoint wasn’t fully prevented.

The SQL++ (N1QL) cURL allowlist protection in the Query Service, wasn’t sufficient in preventing accessing restricted hosts.

Calling cURL via SQL++ (N1QL) via the Eventing Service to the local host’s diag eval endpoint wasn’t fully prevented.

ロギングイベントにより、@ns_serverの内部管理者認証情報がエンコードされた形でdiag.logに流出しました。

クロスデータセンターレプリケーション（XDCR）で使用されている秘密鍵がgoxdcr.logから流出した。

curlの欠陥は、SOCKS5プロキシハンドシェイクのヒープベースのバッファをオーバーフローさせる。

関数DH_generate_key()を使用してX9.42 DH鍵を生成するアプリケーション、および関数DH_check_pub_key()、DH_check_pub_key_ex()、またはEVP_PKEY_public_check()を使用してX9.42 DH鍵またはX9.42 DHパラメータをチェックするアプリケーションでは、長い遅延が発生する可能性がある。チェック対象の鍵やパラメータが信頼できないソースから取得されたものである場合、 サービス拒否につながる可能性がある。

HTTP/2プロトコルは、リクエストのキャンセルが多くのストリームを素早くリセットできるため、サービス拒否を可能にする。

HTTP/2プロトコルは、リクエストのキャンセルが多くのストリームを素早くリセットできるため、サービス拒否を可能にする。

OpenSSL には、ポリシー制約を含む X.509 証明書チェーンの検証に関する脆弱性が存在します。この脆弱性を悪用すると、攻撃者は計算リソースを指数関数的に使用する悪意のある証明書チェーンを作成し、影響を受けるシステムへのサービス運用妨害 (DoS) 攻撃を引き起こす可能性があります。

悪意を持って細工された HTTP/2 ストリームは、HPACK デコーダーに過剰な CPU 消費を引き起こし、少数の小さなリクエストからサービス拒否を引き起こすのに十分な可能性があります。

114.0.5735.110より前のGoogle ChromeのV8における型の混乱により、リモートの攻撃者が細工したHTMLページを介してヒープ破壊を悪用する可能性がありました。

多数の CVE を解決するため、OpenJDK をバージョン 11.0.19 に更新。

The Couchbase Server Windows UI allows an attacker to traverse the filesystem and display files that Couchbase has access to. This vulnerability doesn’t require any authentication. It’s exploitable with just appending folders/files to the Couchbase Server admin UI’s URL.

悪意のあるユーザーは、サーバーに接続し、大きなコマンドを送り始めることで、memcachedサーバーを簡単にクラッシュさせることができる。

7.0以前のノードを7.2クラスタに追加すると、秘密鍵がdebug.logにリークされます。

4.1.86.Finalより前のバージョンでは、不正な細工が施されたメッセージの解析時に、無限再帰によりStackOverflowErrorが発生することがありました。

api / nsstatsでのFTS statsエンドポイントは、正しい認証を実装していないため、認証なしでCouchbase Serverのバケット名、FTSインデックス名、およびFTSインデックスの設定を表示することが可能です。バケットとインデックスの内容は公開されていません。

ノードの結合が失敗すると、REST リクエストを行ったユーザーの修正されていない認証情報がログファイルに漏れる可能性があります。

During the start of a couchbase server node there is a short time period where the security cookie is set to “nocookie” which lacks access controls over the Erlang distribution protocol. If an attacker connects to this protocol during this period, they can execute arbitrary code remotely on any cluster node at any point of time until their connection is dropped. The executed code will be running with the same privileges as the Couchbase Server.

深くネストされた配列の使用を防止するチェックがないため、Couchbase Analyticsサービスのリソース枯渇が発生する可能性があります。

HTTPリクエスト・ボディが極端に大きい（またはバインドされていない）場合、バックアップ・サービスはOOM（メモリ不足）エラーを引き起こす可能性があります。

The v8 Javascript engine as used in the Couchbase Server Eventing Service, View Engine, XDCR and N1QL UDFs has been updated as there’s a type confusion in versions prior to 99.0.4844.84 which allowed a remote attacker to potentially exploit heap corruption via a crafted request.

An attacker can use Parquet files, as optionally used by the Couchbase Analytics Service, to cause a Denial of Service (DoS) if malicious files contain improper values in the file page header (e.g. negative values where positive value is expected). This is resolved by updating the Apache Parquet library to a later version.

When using the tls/ssl feature in couchbase server, it is possible to bypass client authentication in certain situations. Specifically, any application using the ssl/tls/dtls server, and the client certification option “{verify, verify_peer}” are affected by this vulnerability. Corrections have been released on the supported tracks with patches 23.3.4.15, 24.3.4.2, and 25.0.2 of the erlang/OTP runtime. Only clusters using certificate-based authentication are affected.

稀に発生するクラッシュにより、生成された証明書の秘密鍵がログファイルに漏れることがある。

複数のCouchbase Serverサービスで使用されているGoプログラミング言語と関連ライブラリをバージョン1.17.9+または1.18.1+に更新し、多数のCVEを解決しました。

jackson-databind, before 2.13.0 allows a Java StackOverflow exception and denial of service via a large depth of nested objects. This library is used by the Couchbase Server Analytics Service

Updated openssl to fix a flaw in an openssl component, c_rehash. This script scans directories and takes a hash value of each .pem and .crt file in the directory. It then creates symbolic links for each of the files named by the hash value. It has a flaw that allows command injection in the script.

In Couchbase Server 7.1.0 and later it’s possible to provide a passphrase to Couchbase Server to unlock an encrypted TLS private key. This passphrase was found to be leaked in the log files as a Base64 encoded string when one of the Couchbase services, other than the Data Service, was starting up. This affects the Index Service, Query Service, Analytics Service, Backup Service and Eventing Service if the optional encrypted TLS keys feature is used. Note, an attacker needs to have access to the logs as well as the private key to be able to perform attacks such as performing a man in the middle attack or decrypting network communication. Using operating system protections to restrict access to these files can be an effective mitigation strategy.

Ramda 0.27.0 and earlier allows attackers to compromise integrity or availability of application via supplying a crafted object (that contains an own property “{}proto{}”) as an argument to the function, known as prototype pollution. Prototype pollution type attacks allow bypassing input validation and triggering unexpected javascript execution.

js-beautifyには、既知の脆弱性を持つ依存関係、Minimistがあります。Minimist <=1.2.5 には、ファイル index.js の関数 setKey() (69-95行目) を介したプロトタイプ汚染 (Prototype Pollution) の脆弱性があります。プロトタイプ汚染攻撃は、入力検証をバイパスし、予期しないjavascriptの実行を誘発します。

Couchbase Server Analyticsサービスでセカンダリインデックスを作成するとき、ユーザーに報告され、ログに記録されるインデックスされたフィールド上のいくつかの検証があります。コードASX0013のエラーメッセージは、フィールド名が重複していることを報告し、ログに記録するために複数のパスで使用されます。これらのログに記録された検証メッセージのフィールド名は編集されません。また、コード ASX1079 のエラーは、フィールド名が編集されません。

encryption=fullで設定されたAnalyticsリモートリンクのTLS接続の確立に失敗した場合、ランタイムは認証にSCRAM-SHAを使用してリモートクラスタへの非TLS接続を試みることで、(デフォルト以外の)TLSポートの検出を試みます。SCRAM-SHAでは認証情報は共有されませんが、システムがTLS接続を指定する所定の暗号化レベルをダウングレードするとは考えられません。このフォールバックメカニズムは削除され、最初にTLS接続を確立できなかった場合、リンク設定の一部として正しいTLSポートが提供されるまで、CONNECT LINKは単に失敗します。

If the backup service fails to log an audit message, it leaks the audit log data into the backup_service.log which isn’t redacted.

golang.org/x/text/encoding/unicode パッケージで、UTF-16 デコーダが無限ループに入り、プログラムがクラッシュしたりメモリ不足になったりする可能性がありました。

couchbase-cliは、プロセス引数としてマスターパスワードを持つ非常に短命のerlangプロセスをスポーンし、これは、誰かがその時点でプロセスリストを取得した場合、彼らはマスターパスワードを持っていることを意味します。これは、シークレット管理機能を利用するCouchbase Serverクラスタにのみ影響します。

RBACロールにコレクションレベルのパーミッション（例えば、query_select[src:_default:Collection1]）が含まれている場合、コレクション名が削除され、バケットに再作成されても、コレクションレベルのパーミッションは有効です。これにより、コレクションが削除されたときにパーミッションが削除されたはずなのに、そのロールを持つユーザがコレクションにアクセスできるようになります。

Couchbase Serverの影響を受けるバージョンでは、XDCRの内部設定は、認証なしで変更することができます。

In affected versions of Couchbase Server, the Erlang “cookie” is passed via a command-line argument to ‘erl’ when using the ‘server-eshell’ command; this leaked the “cookie” to all who could read the ‘couchbase-cli’ process arguments. The cookie should remain secret as it can be used to perform administrative tasks in the cluster.

Python に不具合が発見されました。PythonのHTTPクライアントコードでHTTPレスポンスが不適切に処理されると、HTTPサーバーを制御するリモートの攻撃者がクライアントスクリプトを無限ループに入らせ、CPU時間を消費させる可能性があります。この問題は、開発者プレビュー機能の Analytics UDF を使用しているクラスタにのみ影響します。

サンプルバケット(beer-sample, gamesim-sample, travel-sample)の読み込みに失敗すると、@ns_server の内部管理ユーザのパスワードがログ(debug.log, error.log, info.log, reports.log)に漏れることがあります。ns_serverアカウントを使用して管理操作を行うことができます。

クラスタノードの追加を実行中にクラスタマネージャ(ns_server)がクラッシュすると、秘密鍵がログファイルに流出する可能性があります。ログファイルにアクセスできる誰かが、クラスタへのセキュアなネットワーク接続を解読できる可能性があります。TLSが使用されている場合、クラスタにログインするユーザやアプリケーションの認証情報が取得される可能性があります。

diag/evalなどの診断エンドポイントは制限されており、ループバックネットワークからのみ実行できる。しかし、CVE-2018-15728に対処するために導入されたチェックは、"X-Forwarded-For "ヘッダーにループバックアドレスが含まれているかどうかを正しくチェックしていません。このヘッダーはループバックの制限を回避するために操作することができる。

この脆弱性は、RFC6890に従って、プライベートネットワークと共有アドレス空間から発信されるリクエストに限定される。

これらのエンドポイントへのリクエストを成功裏に発行できるようにするには、「X-Forwarded-For」ヘッダーの使用に関係なく、ユーザーは完全な管理者権限を必要とする。

この問題の回避策は、"X-Forwarded-For "ヘッダが不要な環境では、"X-Forwarded-For "ヘッダを含むCouchbase Serverノードへのリクエストをファイアウォールすることです。

表彰される： ムカヒト・カラダグ / PRODAFT

Index Serviceは、いくつかのネットワークプロセス、Queryport、Dataport、Adminportを実行します。これらは、他のCouchbaseサービスと通信するために使用されます。これらのプロセスは、ノード間の通信に参加しますが、SDKアプリケーションと直接通信しません。影響を受けるバージョンのCouchbase Serverでは、これらのネットワークプロセスは認証を強制しないため、認証されていないユーザーから送信されたリクエストを処理します。

Queryportサーバは認証されていないユーザに対してインデックススキャン結果を応答することができます。

Dataportサーバーは、認証されていないユーザーがインデックスされたデータを変更することを許可することができます。

Adminport サーバは、認証されていないユーザが DDL 操作（インデックスの作成や削除など）を実行できるようにすることができます。

可能な回避策これらのポートは、Couchbase Serverの内部通信にのみ使用されるため、Couchbase Server以外のノードやプロセスとの接続/通信は、ネットワーク層で無効にすることができます。

認証されていないユーザはクラスタマネージャにREST APIコールを行うことができます。クラスタマネージャが以前に見たことのない各httpリクエストは、新しいメトリックの作成につながります。新しいメトリックはそれぞれメモリとディスクスペースを消費するため、メモリリークとディスクスペースリークが発生する可能性があります。十分なリソースが使用されると、Couchbase Serverノードが故障する可能性があります。

Sync GatewayがX.509クライアント証明書を使用してCouchbase Serverと認証するように構成されている場合、Admin REST APIに提供された管理者資格情報が無視され、認証されていないユーザーの権限昇格が発生します。パブリックREST APIは、この問題の影響を受けません。

信頼されていないノードをクラスタに追加する管理者は、秘密のままであるべきクラスタクッキーを不注意で送信する危険性があります。

これは、認証局が署名した証明書を使用してTLS暗号化を展開することによって対処することができます。TLSを使用する場合、信頼できる証明書は、Couchbase Serverのバージョン7.1.0から着信ノード上に存在する必要があります。

表彰される： Ofir Hamam, security researcher at EY Israel’s Advanced Security Center

Couchbase Operator 2.2.0 introduced an optimization that simplified log collection. When logs are collected, the support tool – “cbopinfo” – is used to collect Kubernetes resources necessary to gain insight into intended resource state, and current resource status. Prior to the affected versions, secret data was redacted, however this functionality was not retained in the new collection method. As a result, logs would have erroneously contained any passwords, tokens, and private keys within the scope of the log collection. By default, this scope will be limited to the Kubernetes namespace in which the Couchbase Server cluster under inspection resides. The exception to this is if the –system flag was specified, in which case all secrets on the platform will have been exposed. Logs are used to identify and remediate customer issues, and therefore only customers that have supplied logs, with the specified tool versions, are affected. Couchbase will ensure that all affected logs which have been provided are redacted.

Couchbase Analytics Serviceで使用されるApache Log4Jユーティリティの重大な問題は、潜在的なリモートコード実行（RCE）と機密データの抽出を防ぐために更新が必要です。

Sync GatewayがCouchbase Serverのデータを読み書きするために使用するバケット認証情報は、バケットに書き込まれた同期ドキュメント内のメタデータに安全に保存されていませんでした。読み取りアクセス権を持つユーザーは、書き込みアクセス権を取得するためにこれらの資格情報を使用することができました。この問題は、Sync Gatewayがx.509クライアント証明書で認証されているクラスタには影響しません。また、この問題は Sync Gateway で共有バケットアクセスが有効になっていないクラスタには影響しません。

リモートクラスタのXDCR資格情報は、デバッグログに漏れる可能性があります。設定キーの墓石パージは、Couchbase Server 7.0.0で追加されました。この問題は、ログに記録されている設定キーに墓石パージャータイムスタンプが接続されている場合に発生します。

As part of a cbcollect_info log collection, Couchbase Server collects the process info of all the processes running in the Erlang VM. The issue occurs when the cluster manager forwards a HTTP request from the pluggable UI (query workbench, etc.) to the specific service. In the backtrace, the Basic Auth Header included in the HTTP request, has the “@” user credentials of the node processing the UI request. For the issue to occur, the process info has to be triggered at the exact moment when a pluggable UI request is being serviced by the cluster manager.

Couchbase Serverのコマンドラインツールで使用される1.26.5以前のurllib3に問題が発見されました。これらのツールに、authorityコンポーネントに多くの@文字を含むURLが提供されると、authority正規表現が壊滅的なバックトラックを示し、URLがパラメータとして渡されるか、HTTPリダイレクトを介してリダイレクトされた場合、コマンドラインツールのサービス拒否を引き起こします。

Couchbase Serverコマンドラインツールで使用されるPython用3.3.2以前の暗号化パッケージでは、複数GBの値を対称的に暗号化するための更新呼び出しの特定のシーケンスにより、そのツールで整数オーバーフローとバッファオーバーフローが発生する可能性があります。

これは、データサービスが利用できなくなる可能性があります。ファイアウォールを使用して、アプリケーションからのネットワークトラフィックのみがCouchbase Serverクラスタと通信できるようにすることをお勧めします。

これは、データサービスが利用できなくなる可能性があります。ファイアウォールを使用して、アプリケーションからのネットワークトラフィックのみがCouchbase Serverクラスタと通信できるようにすることをお勧めします。

外部認証に使用されるLDAPまたはActive Directoryサーバーが安全でない未認証バインドを許可するように設定されている場合、Couchbase Server Cluster Managerは空のパスワードで外部ユーザーを認証することを許可します。

LDAPサーバーは、resultCodeが "unwillingToPerform "の認証なしバインド(Unauthenticated Bind)リクエストに失敗するように設定することで、この発生を防ぐことができる。

そのうちのひとつは、クライアントから悪意を持って細工された再ネゴシエーションの ClientHello メッセージが送信された場合、TLS サーバーがクラッシュする可能性がある。

Couchbase UIで使用されているAngularで、merge()関数を変更することでサービス拒否を引き起こす可能性がある問題。

Common Table Expression N1QLクエリがRBACセキュリティ制御に正しく対応しておらず、必要な権限を持たないユーザーに読み取りアクセス権を与えていました。

Full Text Seachのユーザーインターフェースには、いくつかの既知の深刻度の高いセキュリティ脆弱性が存在するAngularJS 1.4.7が使用されています。これらのAngularJSライブラリは、これらの脆弱性に対処したより新しいバージョンのAngularに更新されています。

Java 6 (JDK 1.6 – the older SDK baseline version) did not support hostname verification out of the box. Once the SDK moved to Java 7 (Java 1.7) as the baseline, adding support was possible. This happened in jvm-core 1.7.11 (which translates to java-client 2.7.11). It is not possible in earlier versions to manually add it as a workaround, because the facilities to customize it accordingly are not exposed. Note that in order to not break applications that rely on the old behavior, hostname verification is still disabled by default, but can be enabled in the SDK configuration (CouchbaseEnvironment class).

プロジェクタープロセスで公開される /settings REST エンドポイントは、管理者が設定の更新やパフォーマンスプロファイルの収集など、さまざまなタスクに使用できるエンドポイントです。このエンドポイントは認証されていませんでしたが、認証されたユーザーのみがこれらの管理APIにアクセスできるように更新されました。

表彰される： アップル・セキュリティ・チーム

The Server REST API responds with a {{WWW-Authenticate}} header to unauthenticated requests which allows the user to authenticate via a user / password dialog in a web browser. The problem is that these credentials are cached by the browser which allows a hacker to use CSRF to attack a cluster in the event that an administrator has used their browser to check the results of a REST API request. This behavior can be disabled by using couchbase-cli (couchbase-cli setting-security –set –disable-www-authenticate 1 -c localhost:8091 -u -p ). This is not disabled by default as it might break existing tools or scripts.

表彰される： アップル・セキュリティ・チーム

企業によっては、REST API のエンドポイントが REST レスポンスにセキュリティ関連のヘッダを含めることを要求している。X-Frame-OptionsやX-Content-Type-Optionsのようなヘッダは一般的に推奨されますが、情報セキュリティの専門家の中には、HTMLエンドポイントにより一般的に適用されるX-Permitted-Cross-Domain-PoliciesやX-XSS-Protectionも含めることを求める人もいます。これらのヘッダは現在、Couchbase Server Views REST API（ポート8092）からの応答に含まれています。

An attacker with access to the Sync Gateway’s public REST API was able to issue additional N1QL statements and extract sensitive data or call arbitrary N1QL functions through the parameters “startkey” and “endkey” on the “_all_docs” endpoint. By issuing nested queries with CPU-intensive operations they may have been able to cause increased resource usage and denial of service conditions. The _all_docs endpoint is not required for Couchbase Mobile replication, and external access to this REST endpoint has been blocked to mitigate this issue.

表彰される： デニス・ヴェルナー/HiSolutions AG

イベント発生サービスは、内部トラフィック専用に設定されたポートで、認証情報を必要としないHTTPエンドポイントを介してシステム診断プロファイルを公開します。これは改善され、アクセスするために有効な認証情報が必要になりました。

バグレポートの一部としてCouchbaseに提出されたシステム情報には、プライバシーのためにログが編集されていたとしても、現在システムにログインしているすべてのユーザーのユーザー名が含まれていた。

これは、ログにユーザー名が適切にタグ付けされ、ログが再編集される際にハッシュアウトされるように修正された。

Couchbase Server exposed the ‘/diag/eval’ endpoint, which, by default, is available on TCP/8091 and/or TCP/18091. 認証済み users that have ‘Full Admin‘ role assigned could send arbitrary Erlang code to the ‘diag/eval’ endpoint of the API and the code would subsequently be executed in the underlying operating system with privileges of the user which was used to start Couchbase.

表彰される： アップル・セキュリティ・チーム

ノード内通信に使用されるクッキーは安全に生成されませんでした。Couchbase Serverはerlang:now()を使用してPRNGをシードし、その結果、潜在的なランダムなシードのための小さな検索空間が発生します。

表彰される： アップル・セキュリティ・チーム

Secondary indexing encodes the entries to be indexed using collatejson. When index entries contained certain characters like \t, , it caused a buffer overrun as the encoded string would be much larger than accounted for, causing the indexer service to crash and restart. This has been remedied now to ensure the buffer always grows as needed for any input.

表彰される： DトラストGmbH

無効なリモートクラスタ証明書が参照作成の一部として入力された場合、XDCRは証明書の署名を解析およびチェックしませんでした。そのため、XDCRは無効な証明書を受け入れ、その証明書を使用してリモートクラスタへの今後の接続を確立しようとしました。これは修正されました。XDCRは証明書の有効性を徹底的にチェックするようになり、無効な証明書でリモートクラスタ参照が作成されないようになりました。

In versions of Couchbase Server prior to 5.0, the bucket named “default” was a special bucket that allowed read and write access without authentication. As part of 5.0, the behavior of all buckets including “default” were changed to only allow access by authenticated users with sufficient authorization. However, users were allowed unauthenticated and unauthorized access to the “default” bucket if the properties of this bucket were edited. This has been fixed.