카우치베이스 알림

CVE-2025-49015

.NET SDK v3.7.1 이전 버전에서는 인증서 호스트 이름 확인을 건너뛸 수 있습니다.
.NET SDK v3.7.1 이전 버전에서는 TLS 인증서에 대한 호스트 이름 확인이 모든 경우에 제대로 적용되지 않았습니다.

Medium
(4.9)

카우치베이스 .NET SDK

3.7.0,
3.6.x,
3.5.x,
3.4.x,
3.3.x,
3.2.x,
3.1.x,
3.0.x

3.7.1

2025년 6월

CVE-2025-46619

윈도우용 카우치베이스 서버에서 로컬 파일 포함 취약점이 발견되었습니다.

시스템의 중요한 파일에 대한 무단 액세스를 허용할 수 있는 보안 문제가 Windows용 Couchbase Server에서 발견되었습니다. 이 취약점은 권한 수준에 따라 / etc / passwd 또는 / etc / shadow와 같은 파일에 대한 액세스 권한을 부여할 수 있습니다.

높음
(8.7)

카우치베이스 서버

설치형 버전
7.6.3,
7.6.2,
7.6.1,
7.6.0,
7.2.6,
7.2.5,
7.2.4,
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x,
4.x,
3.x,
2.x

설치형 버전
7.6.4,
7.2.7

2025년 4월

CVE-2024-56178

승격된 역할을 가진 사용자의 무단 생성

보안 관리자 역할이 있는 사용자가 '관리자' 역할이 있는 그룹에 새 사용자를 만들어 의도한 권한보다 높은 권한을 부여할 수 있습니다.

Medium
(6.9)

카우치베이스 서버

설치형 버전
7.6.3,
7.6.2,
7.6.1,
7.6.0

설치형 버전
7.6.4

2024년 12월

CVE-2016-2183
CVE-2016-6329

SWEET32 취약점에 취약한 클러스터 관리 포트.

TLS, SSH, IPSec 프로토콜 및 기타 프로토콜과 제품에서 사용되는 DES와 트리플 DES 암호는 약 40억 블록의 생일 바인딩을 가지고 있어 원격 공격자가 장기간 암호화된 세션에 대한 생일 공격을 통해 클리어 텍스트 데이터를 쉽게 얻을 수 있습니다(CBC 모드에서 트리플 DES를 사용하는 HTTPS 세션, 일명 "Sweet32" 공격에서 볼 수 있듯이).

높음
(8.7)

카우치베이스 서버

설치형 버전
7.2.5,
7.2.4,
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x
4.x
3.x,
2.x

설치형 버전
7.6.0,
7.2.6

2024년 8월

CVE-2024-37034

원격 링크 암호화가 HALF로 구성된 경우 자격 증명은 SCRAM-SHA를 사용하여 KV와 협상합니다.

SDK는 기본적으로 SCRAM-SHA와 협상하여 MITM이 일반 자격 증명을 위해 협상할 수 있도록 합니다.

Medium
(5.9)

카우치베이스 서버

설치형 버전
7.6.0,
7.2.4,
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x

설치형 버전
7.6.1,
7.2.5

2024년 7월

CVE-2023-50782

pyca-암호화를 42.0.5로 업그레이드합니다.

파이썬 암호화 패키지에서 결함이 발견되었습니다. 이 문제로 인해 원격 공격자가 RSA 키 교환을 사용하는 TLS 서버에서 캡처된 메시지를 해독하여 기밀 또는 민감한 데이터가 노출될 수 있습니다.

높음
(7.5)

카우치베이스 서버

설치형 버전
7.6.1,
7.6.0

설치형 버전
7.6.2,
7.2.5

2024년 7월

CVE-2023-45873

데이터 리더 역할을 가진 사용자가 데이터 서비스를 OOM 종료할 수 있습니다.

데이터 리더 권한이 있는 사용자가 많은 수의 문서를 요청하는 GetKey를 전송하여 데이터 서비스를 종료하고 메모리 부족(OOM) 오류를 트리거할 수 있습니다.

Medium
(6.5)

카우치베이스 서버

설치형 버전
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.6.x,
6.5.x

설치형 버전
7.2.4

2024년 1월

CVE-2023-43769

애널리틱스 서비스에서 인증되지 않은 RMI 서비스 포트가 노출되었습니다.

네트워크 포트 9119 및 9121은 애널리틱스 서비스에서 호스팅하는 인증되지 않은 RMI 서비스 포트로, 권한 상승을 초래할 수 있습니다.

중요
(9.1)

카우치베이스 서버

설치형 버전
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x

설치형 버전
7.2.4

2024년 1월

CVE-2023-49931

diag / eval에 대한 SQL++ cURL 호출이 충분히 제한되지 않았습니다.

쿼리 서비스를 사용하여 SQL++(N1QL)를 통해 로컬 호스트의 / diag / eval 엔드포인트에 대한 cURL 호출이 완전히 방지되지 않았습니다.

높음
(8.6)

카우치베이스 서버

설치형 버전
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x

설치형 버전
7.2.4

2024년 1월

CVE-2023-49930

진단 평가에 대한 SQL++ cURL 호출 이벤트가 충분히 제한되지 않았습니다.

이벤트 서비스를 통해 로컬 호스트의 진단 평가 엔드포인트로 SQL++(N1QL)을 통해 cURL을 호출하는 것이 완전히 방지되지 않았습니다.

높음
(8.6)

카우치베이스 서버

설치형 버전
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.5.x

설치형 버전
7.2.4

2024년 1월

CVE-2024-23302

XDCR 로그 파일에서 TLS 개인 키가 유출되었습니다.

데이터센터 간 복제(XDCR)에 사용되는 개인 키가 goxdcr.log에서 유출되었습니다.

낮음
(2.1)

카우치베이스 서버

설치형 버전
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x,
4.5.x

설치형 버전
7.2.4

2024년 1월

CVE-2023-5678

OpenSSL 3.1.4로 업그레이드하세요.

DH_generate_key() 함수를 사용하여 X9.42 DH 키를 생성하는 애플리케이션과 DH_check_pub_key(), DH_check_pub_key_ex() 또는 EVP_PKEY_public_check()를 사용하여 X9.42 DH 키 또는 X9.42 DH 파라미터를 검사하는 애플리케이션은 긴 지연이 발생할 수 있습니다. 확인 중인 키 또는 매개변수가 신뢰할 수 없는 출처에서 가져온 경우 서비스 거부가 발생할 수 있습니다.

Medium
(5.3)

카우치베이스 서버

설치형 버전
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x,
4.x,
3.x,
2.x

설치형 버전
7.2.4

2024년 1월

CVE-2023-44487

Golang을 1.20.10으로 업그레이드하세요.

HTTP/2 프로토콜은 요청 취소로 많은 스트림을 빠르게 초기화할 수 있기 때문에 서비스 거부를 허용합니다.

높음
(7.5)

카우치베이스 서버

설치형 버전
7.2.2,
7.2.1,
7.2.0,
7.1.5,
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.x,
5.x,
4.x

설치형 버전
7.2.3,
7.1.6

2023년 11월

CVE-2022-41723

GoLang을 1.19.9로 업데이트합니다.

악의적으로 조작된 HTTP/2 스트림은 HPACK 디코더에서 과도한 CPU 소비를 유발하여 소수의 소규모 요청으로 인해 서비스 거부를 일으킬 수 있습니다.

높음
(7.5)

카우치베이스 서버

설치형 버전
7.2.0,
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.x,
5.x,
4.x

설치형 버전
7.2.1,
7.1.5

2023년 11월

CVE-2023-21930

CVE-2023-21954

CVE-2023-21967

CVE-2023-21939

CVE-2023-21938

CVE-2023-21937

CVE-2023-21968

OpenJDK를 11.0.19로 업데이트합니다.

OpenJDK를 버전 11.0.19로 업데이트하여 수많은 CVE를 해결하세요.

높음
(7.4)

카우치베이스 서버

설치형 버전
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.6.x

설치형 버전
7.1.5

2023년 11월

CVE-2023-43768

인증되지 않은 사용자는 멤캐시의 메모리 부족을 유발할 수 있습니다.

악의적인 사용자는 서버에 접속하여 대량의 명령을 전송함으로써 멤캐시드 서버를 쉽게 다운시킬 수 있습니다.

높음
(7.5)

카우치베이스 서버

설치형 버전
7.2.0,
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.6.x

설치형 버전
7.2.1,
7.1.5

2023년 11월

CVE-2022-41881

CVE-2022-41915

Netty를 4.1.86.Final 이상으로 업데이트하세요.

4.1.86.Final 이전 버전에서는 무한 재귀로 인해 잘못 작성된 메시지를 구문 분석할 때 StackOverflowError가 발생할 수 있습니다.

낮음
(2.2)

카우치베이스 서버

설치형 버전
6.6.6,
7.0.5,
7.1.3

설치형 버전
7.2.0,
7.1.4

2023년 5월

CVE-2023-25016

노드 조인 중에 크래시가 발생하면 자격 증명이 로그에 유출될 수 있습니다.

노드 조인이 실패하는 동안 REST 요청을 하는 사용자의 수정되지 않은 자격 증명이 로그 파일로 유출될 수 있습니다.

Medium
(6.3)

카우치베이스 서버

설치형 버전
7.1.1,
7.1.0,
7.0.4,
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x,
4.x,
3.x,
2.x

설치형 버전
7.1.2,
7.0.5,
6.6.6

2023년 1월

CVE-2022-42004

CVE-2022-42003

취약점 해결을 위해 분석 서비스에서 사용되는 잭슨 데이터바인드를 2.13.4.2+로 업데이트했습니다.

깊게 중첩된 배열의 사용을 방지하는 검사가 부족하여 Couchbase 분석 서비스의 리소스 고갈이 발생할 수 있습니다.

높음
(7.5)

카우치베이스 서버

설치형 버전
7.1.2,
7.1.1,
7.1.0,
7.0.4,
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1
6.6.0
6.5.x,
6.0.x,
5.x,
4.x

설치형 버전
7.1.3,
7.0.5,
6.6.6

2023년 1월

CVE-2022-1096

V8 자바스크립트 엔진이 10.7.x로 업데이트되었습니다.

99.0.4844.84 이전 버전에서 원격 공격자가 조작된 요청을 통해 잠재적으로 힙 손상을 악용할 수 있는 유형 혼동이 발생함에 따라 Couchbase 서버 이벤트 서비스, 뷰 엔진, XDCR 및 N1QL UDF에 사용되는 v8 Javascript 엔진이 업데이트되었습니다.

높음
(8.8)

카우치베이스 서버

설치형 버전
7.1.1,
7.1.0,
7.0.4,
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.x,
5.x,
4.x,
3.x,
2.x

설치형 버전
7.1.2,
7.0.5

2023년 1월

CVE-2022-37026

Erlang을 24.3.4.4 버전으로 업그레이드합니다.

카우치베이스 서버에서 tls/ssl 기능을 사용할 때 특정 상황에서 클라이언트 인증을 우회할 수 있습니다. 특히, ssl/tls/dtls 서버와 클라이언트 인증 옵션 "{verify, verify_peer}"를 사용하는 모든 애플리케이션이 이 취약점의 영향을 받습니다. 지원되는 트랙에서는 erlang/OTP 런타임의 23.3.4.15, 24.3.4.2 및 25.0.2 패치를 통해 수정이 릴리스되었습니다. 인증서 기반 인증을 사용하는 클러스터만 영향을 받습니다.

중요
(9.8)

카우치베이스 서버

설치형 버전
7.1.1,
7.1.0

설치형 버전
7.1.2

2022년 11월

CVE-2022-24675

CVE-2022-23772

CVE-2022-24921

GoLang을 최소 1.17.9 또는 1.18.1로 업데이트합니다.

여러 Couchbase Server 서비스에서 사용되는 Go 프로그래밍 언어 및 관련 라이브러리를 1.17.9+ 또는 1.18.1+ 버전으로 업데이트하여 수많은 CVE를 해결했습니다.

높음
(7.5)

카우치베이스 서버

설치형 버전
7.1.0,
7.0.4,
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5x,
6.0.x,
5.x,
4.x

설치형 버전
7.1.1,
7.0.5,
6.6.6

2022년 7월

CVE-2022-1292

openssl을 1.1.1o로 업데이트했습니다.

openssl 구성 요소인 c_rehash의 결함을 수정하기 위해 openssl을 업데이트했습니다. 이 스크립트는 디렉터리를 스캔하여 디렉터리에 있는 각 .pem 및 .crt 파일의 해시값을 가져옵니다. 그런 다음 해시 값으로 명명된 각 파일에 대한 심볼릭 링크를 만듭니다. 이 스크립트에는 스크립트에 명령 인젝션을 허용하는 결함이 있습니다.

중요
(9.8)

카우치베이스 서버

설치형 버전
7.1.0,
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x

설치형 버전
7.1.1,
7.0.4,
6.6.6

2022년 7월

CVE-2021-42581

클라이언트 측 자바스크립트 라이브러리인 람다를 Couchbase Server UI에 사용되는 버전 0.28로 업데이트합니다.

Ramda 0.27.0 이하에서는 공격자가 프로토타입 오염이라고 하는 함수에 대한 인수로 조작된 객체(자체 속성 "{}proto{}"가 포함된)를 제공함으로써 애플리케이션의 무결성 또는 가용성을 손상시킬 수 있습니다. 프로토타입 오염 유형 공격을 통해 입력 유효성 검사를 우회하고 예기치 않은 자바스크립트 실행을 트리거할 수 있습니다.

중요
(9.1)

카우치베이스 서버

설치형 버전
7.1.0,
7.0.x

설치형 버전
7.1.1

2022년 7월

CVE-2022-33911

필드 이름은 애널리틱스 서비스에 대해 기록된 유효성 검사 메시지에서 삭제되지 않습니다.

Couchbase 서버 분석 서비스로 보조 인덱스를 만들 때 인덱싱된 필드에 대해 사용자에게 보고되고 기록되는 몇 가지 유효성 검사가 있습니다. 코드 ASX0013의 오류 메시지는 중복된 필드 이름이 있다는 것을 보고하고 기록하는 여러 경로에서 사용됩니다. 이렇게 기록된 유효성 검사 메시지의 필드 이름은 삭제되지 않습니다. 또한 코드 ASX1079의 오류에는 삭제되지 않은 필드 이름이 있습니다.

낮음
(1.8)

카우치베이스 서버

설치형 버전
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x

설치형 버전
7.0.4,
6.6.6

2022년 6월

CVE-2022-32565

백업 서비스 로그에서 수정되지 않은 사용자 이름과 문서 ID가 유출됩니다.

백업 서비스가 감사 메시지를 기록하지 못하면 감사 로그 데이터가 삭제되지 않은 backup_service.log로 유출됩니다.

낮음
(1.8)

카우치베이스 서버

설치형 버전
7.0.x

설치형 버전
7.1.0

2022년 6월

CVE-2022-32192

couchbase-cli는 명령줄 인수로 시크릿 관리 마스터 비밀번호를 유출합니다.

couchbase-cli는 마스터 비밀번호를 프로세스 인수로 사용하는 매우 수명이 짧은 erlang 프로세스를 생성하므로, 그 시점에 프로세스 목록을 얻는 사람은 누구나 마스터 비밀번호를 갖게 됩니다. 이는 비밀 관리 기능을 사용하는 Couchbase Server 클러스터에만 영향을 줍니다.

Medium
(5.5)
 

카우치베이스 서버

설치형 버전
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x

설치형 버전
7.0.4,
6.6.6

2022년 6월

CVE-2022-32560

XDCR - 내부 설정 변경 시 역할 확인이 부족합니다.

영향을 받는 Couchbase Server 버전에서는 인증 없이도 XDCR 내부 설정을 수정할 수 있습니다.

Medium
(4.0)

카우치베이스 서버

설치형 버전
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.x,
5.x,
4.x

설치형 버전
7.0.4

2022년 6월

CVE-2021-3737

서비스 거부 문제를 해결하기 위해 Python이 3.9.12로 업데이트되었습니다.
파이썬에서 결함이 발견되었습니다. Python의 HTTP 클라이언트 코드에서 부적절하게 처리된 HTTP 응답으로 인해 HTTP 서버를 제어하는 원격 공격자가 클라이언트 스크립트를 무한 루프에 진입시켜 CPU 시간을 소모하도록 만들 수 있습니다. 이 문제는 개발자 미리 보기 기능인 애널리틱스 UDF를 사용하는 클러스터에만 영향을 줍니다.

높음
(7.5)

카우치베이스 서버

설치형 버전
7.0.3,
7.0.2,
7.0.1,
7.0.0

설치형 버전
7.0.4

2022년 6월

CVE-2022-32193

카우치베이스 서버의 클러스터 관리자 구성 요소가 충돌하는 동안 개인 키가 기록될 수 있습니다.

클러스터 노드 추가를 수행하는 동안 클러스터 관리자(ns_server)의 충돌로 인해 개인 키가 로그 파일로 유출될 수 있습니다. 로그 파일에 액세스할 수 있는 사람은 클러스터에 대한 보안 네트워크 연결을 해독할 수 있습니다. TLS를 사용하는 경우 클러스터에 로그인하는 사용자 및 애플리케이션의 자격 증명을 획득할 수 있습니다.

Medium
(6.3)

카우치베이스 서버

설치형 버전
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0

설치형 버전
7.0.4,
6.6.6

2022년 6월

CVE-2022-32557

인덱스 서비스는 TCP/TLS 서버에 대한 인증을 강제하지 않습니다.

인덱스 서비스는 여러 네트워크 프로세스인 쿼리포트, 데이터포트, 관리포트를 실행합니다. 이러한 프로세스는 다른 Couchbase 서비스와 통신하는 데 사용됩니다. 이러한 프로세스는 노드 간 통신에 참여하지만 SDK 애플리케이션과 직접 통신하지는 않습니다. 영향을 받는 Couchbase Server 버전에서 이러한 네트워크 프로세스는 인증을 강제하지 않으므로 인증되지 않은 사용자가 보낸 요청을 처리합니다.

쿼리포트 서버는 인덱스 스캔 결과를 통해 인증되지 않은 사용자에게 응답할 수 있습니다.

데이터포트 서버는 인증되지 않은 사용자가 인덱싱된 데이터를 수정할 수 있도록 허용할 수 있습니다.

관리포트 서버는 인증되지 않은 사용자가 인덱스 생성 및 삭제와 같은 DDL 작업을 수행할 수 있도록 허용할 수 있습니다.

가능한 해결 방법: 이 포트는 Couchbase Server의 내부 통신에만 사용되므로 네트워크 계층에서 비 Couchbase Server 노드 및 프로세스와의 연결/통신을 비활성화할 수 있습니다.

높음
(8.2)

카우치베이스 서버

설치형 버전
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.x,
5.x,
4.x

설치형 버전
7.0.4

2022년 6월

CVE-2022-32563

동기화 게이트웨이에서 카우치베이스 서버로 X.509 클라이언트 인증서 인증을 사용할 때 관리자 자격 증명이 확인되지 않습니다.

동기화 게이트웨이가 X.509 클라이언트 인증서를 사용하여 Couchbase Server로 인증하도록 구성된 경우, 관리자 REST API에 제공된 관리자 자격 증명이 무시되어 인증되지 않은 사용자의 권한이 에스컬레이션될 수 있습니다. 공용 REST API는 이 문제의 영향을 받지 않습니다.

해결 방법: 부트스트랩 구성 내에서 X.509 인증서 기반 인증을 사용자 이름 및 비밀번호 인증으로 대체합니다.

중요
(9.8)

카우치베이스 동기화 게이트웨이

카우치베이스 동기화 게이트웨이:
3.0.0,
3.0.1

3.0.2

2022년 6월

CVE-2022-26311

Kubernetes 환경에서 수집된 로그에서 삭제되지 않은 비밀.

Couchbase Operator 2.2.0은 로그 수집을 간소화하는 최적화를 도입했습니다. 로그가 수집되면 지원 도구인 "cbopinfo"를 사용하여 의도된 리소스 상태 및 현재 리소스 상태에 대한 인사이트를 얻는 데 필요한 Kubernetes 리소스를 수집합니다. 영향을 받은 버전 이전에는 비밀 데이터가 삭제되었지만 새로운 수집 방법에서는 이 기능이 유지되지 않았습니다. 그 결과 로그 수집 범위 내에 비밀번호, 토큰, 개인키가 잘못 포함되어 로그에 포함되었을 수 있습니다. 기본적으로 이 범위는 검사 중인 Couchbase Server 클러스터가 있는 Kubernetes 네임스페이스로 제한됩니다. 예외는 --system 플래그를 지정한 경우이며, 이 경우 플랫폼의 모든 비밀이 노출됩니다. 로그는 고객 문제를 식별하고 해결하는 데 사용되므로 지정된 도구 버전으로 로그를 제공한 고객만 영향을 받습니다. 카우치베이스는 제공된 모든 영향을 받는 로그가 삭제되도록 합니다.

높음
(7.2)

카우치베이스 클라우드 네이티브 운영자

2.2.0,
2.2.1,
2.2.2

2.2.3

2022년 3월

CVE-2021-43963

동기화 게이트웨이가 Couchbase Server 버킷 자격 증명을 안전하게 저장하지 못합니다.

동기화 게이트웨이가 Couchbase Server에서 데이터를 읽고 쓰기 위해 사용하는 버킷 자격 증명이 버킷에 기록된 동기화 문서 내의 메타데이터에 안전하지 않게 저장되고 있었습니다. 읽기 액세스 권한이 있는 사용자가 이러한 자격 증명을 사용하여 쓰기 액세스 권한을 얻을 수 있었습니다. 이 문제는 동기화 게이트웨이가 x.509 클라이언트 인증서로 인증된 클러스터에는 영향을 미치지 않습니다. 또한 이 문제는 동기화 게이트웨이에서 공유 버킷 액세스가 사용 설정되어 있지 않은 클러스터에는 영향을 미치지 않습니다.

Medium
(6.5)

카우치베이스 동기화 게이트웨이

동기화 게이트웨이
2.8.2,
2.8.1,
2.8.0,
2.7.x

동기화 게이트웨이 2.8.3

2021년 10월

CVE-2021-42763

백트레이스에서 크래시 오류 로그에 노출된 자격 증명

cbcollect_info 로그 수집의 일부로, Couchbase Server는 Erlang VM에서 실행 중인 모든 프로세스의 프로세스 정보를 수집합니다. 이 문제는 클러스터 관리자가 플러그 가능한 UI(쿼리 워크벤치 등)에서 특정 서비스로 HTTP 요청을 전달할 때 발생합니다. 백트레이스에서 HTTP 요청에 포함된 기본 인증 헤더에는 UI 요청을 처리하는 노드의 "@" 사용자 자격 증명이 있습니다. 문제가 발생하려면 클러스터 관리자가 플러그 가능한 UI 요청을 서비스하는 정확한 순간에 프로세스 정보가 트리거되어야 합니다.

높음
(8.8)

카우치베이스 서버

Sever
7.0.1,
7.0.0,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x,
4.5.x

설치형 버전
6.6.3,
7.0.2

2021년 10월

CVE-2020-36242

파이썬 암호화 패키지가 3.3.2로 업데이트되었습니다.

Python용 3.3.2 이전 암호화 패키지에서 Couchbase Server 명령줄 도구에서 사용하는 것처럼 다중 GB 값을 대칭적으로 암호화하기 위한 특정 업데이트 호출 시퀀스에서 해당 도구에서 정수 오버플로 및 버퍼 오버플로가 발생할 수 있습니다.

중요
(9.1)

카우치베이스 서버

Sever
7.0.1,
7.0.0,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x,
4.5.x

설치형 버전
6.6.3,
7.0.2

2021년 10월

CVE-2021-35945

공격자가 특수하게 조작한 네트워크 패킷을 전송하면 멤캐시를 다운시킬 수 있습니다.

이로 인해 데이터 서비스를 사용할 수 없게 될 수 있습니다. 방화벽을 사용하여 애플리케이션의 네트워크 트래픽만 Couchbase Server 클러스터와 통신할 수 있도록 허용하는 것이 좋습니다.

높음
(8.2)

카우치베이스 서버

설치형 버전
7.0.0,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x,
4.6.x,
4.5.x

설치형 버전
6.6.3,
7.0.1

2021년 9월

CVE-2021-23840

CVE-2021-3450

CVE-2021-3449

OpenSSL을 버전 1.1.1k로 업데이트하기

클라이언트에서 악의적으로 조작된 재협상 ClientHello 메시지를 전송할 경우 TLS 서버가 충돌할 수 있는 여러 보안 문제가 OpenSSL에서 해결되었습니다.

중간 / 높음
(5.9,
7.4,
7.5)

카우치베이스 서버

설치형 버전
6.6.2,
6.6.1,
6.6.0,
6.5.x

Server 6.6.3

2021년 8월

CVE-2021-31158

N1QL CTE(일반 테이블 표현식)가 액세스 제어를 잘못 처리했습니다.

일반 테이블 표현식 N1QL 쿼리가 RBAC 보안 제어를 올바르게 적용하지 않아 필요한 권한이 없는 사용자에게 읽기 액세스 권한을 부여했습니다.

Medium
(6.5)

카우치베이스 서버

설치형 버전
6.6.1,
6.6.0,
6.5.2,
6.5.1,
6.5.0

Server 6.6.2

2020년 2월

CVE-2020-9040

core-io 1.7.11(및 그에 따른 Java SDK 2.7.11)까지는 TLS/SSL 연결에서 호스트 이름 확인이 활성화되지 않으며 특정 환경에서 보안 위험이 될 수 있습니다.

Java 6(이전 SDK 기준 버전인 JDK 1.6)은 호스트 이름 확인을 기본적으로 지원하지 않았습니다. SDK가 Java 7(Java 1.7)로 기본 버전으로 전환되면서 지원을 추가할 수 있었습니다. 이는 jvm-core 1.7.11(java-client 2.7.11로 변환됨)에서 발생했습니다. 이전 버전에서는 그에 따라 사용자 지정하는 기능이 노출되지 않기 때문에 해결 방법으로 수동으로 추가할 수 없습니다. 이전 동작에 의존하는 애플리케이션을 중단시키지 않기 위해 호스트 이름 확인은 여전히 기본적으로 비활성화되어 있지만 SDK 구성(CouchbaseEnvironment 클래스)에서 활성화할 수 있습니다.

높음
(7.5)

카우치베이스 자바 SDK
카우치베이스 스파크 커넥터
카우치베이스 카프카 커넥터
(Java SDK 또는 Core-IO에 따른 커넥터)

1.7.10,
1.6.0,
1.5.0,
1.4.0,
1.3.0,
1.2.0,
1.1.0,
1.0.0

2.7.11

2019년 4월

CVE-2020-9042

카우치베이스 서버는 인증되지 않은 요청에 대해 WWW-Authenticate 응답을 반환합니다.

서버 REST API는 사용자가 웹 브라우저의 사용자/비밀번호 대화 상자를 통해 인증할 수 있도록 인증되지 않은 요청에 대해 {{WWW-Authenticate}} 헤더로 응답합니다. 문제는 이러한 자격 증명이 브라우저에 캐시되어 관리자가 브라우저를 사용하여 REST API 요청의 결과를 확인한 경우 해커가 CSRF를 사용하여 클러스터를 공격할 수 있다는 것입니다. 이 동작은 couchbase-cli 설정-보안 --set --disable-www-authenticate 1 -c localhost:8091 -u -p 로 비활성화할 수 있습니다(couchbase-cli setting-security --set --disable-www-authenticate 1). 이 옵션은 기존 도구나 스크립트를 손상시킬 수 있으므로 기본적으로 비활성화되어 있지 않습니다.

인식: Apple 보안 팀

Medium
(6.3)

카우치베이스 서버

6.0.0

6.5.1

2020년 4월

CVE-2019-9039

all_docs 시작키, 종료키를 통해 동기화 게이트웨이에서 N1QL 삽입 방지

동기화 게이트웨이의 공용 REST API에 액세스할 수 있는 공격자는 "_all_docs" 엔드포인트의 "startkey" 및 "endkey" 매개 변수를 통해 추가 N1QL 문을 발행하고 민감한 데이터를 추출하거나 임의의 N1QL 함수를 호출할 수 있었습니다. CPU 집약적인 작업으로 중첩 쿼리를 실행함으로써 리소스 사용량 증가 및 서비스 거부 상태를 유발할 수 있었습니다. 이 문제를 완화하기 위해 이 REST 엔드포인트에 대한 외부 액세스가 차단되었으며, _all_docs 엔드포인트는 Couchbase Mobile 복제에 필요하지 않습니다.

인식: 데니스 베르너/하이솔루션즈 AG

높음
(7.6)

카우치베이스 동기화 게이트웨이

2.1.2

2.5.0
2.1.3

2019년 2월

CVE-2019-11465

멤캐시드 "연결" 통계 블록 명령은 리댁트되지 않은 사용자 이름을 내보냅니다.

버그 보고서의 일부로 Couchbase에 제출된 시스템 정보에는 개인정보 보호를 위해 로그가 삭제되었더라도 현재 시스템에 로그인한 모든 사용자의 사용자 이름이 포함되어 있습니다.

사용자 이름이 로그에 올바르게 태그되고 로그가 삭제될 때 해시 처리되도록 수정되었습니다.

Medium
(6.5)

카우치베이스 서버

6.0.0,
5.5.3,
5.5.2,
5.5.1,
5.5.0

6.0.1
5.5.4

2019년 1월

CVE-2019-11495

Erlang 쿠키는 약한 무작위 시드를 사용합니다.

노드 내 통신에 사용되는 쿠키가 안전하게 생성되지 않았습니다. 카우치베이스 서버는 erlang:now()를 사용하여 PRNG를 시딩하기 때문에 잠재적인 임의 시드를 위한 작은 검색 공간이 생겨 쿠키를 무차별 대입하고 원격 시스템에 대해 코드를 실행하는 데 사용될 수 있습니다.

인식:  Apple 보안 팀

높음
(7.9)

카우치베이스 서버

5.1.1

6.0.0

2018년 9월

CVE-2019-11497

XDCR은 원격 클러스터 인증서의 유효성을 검사하지 않습니다.

잘못된 원격 클러스터 인증서가 참조 생성의 일부로 입력된 경우, XDCR은 인증서 서명을 파싱하고 확인하지 않았습니다. 그런 다음 잘못된 인증서를 수락하고 향후 원격 클러스터에 대한 연결을 설정하는 데 사용하려고 시도했습니다. 이 문제는 수정되었습니다. 이제 XDCR은 인증서의 유효성을 철저히 확인하여 유효하지 않은 인증서로 원격 클러스터 참조가 생성되는 것을 방지합니다.

높음
(7.5)

카우치베이스 서버

5.0.0

5.5.0

2018년 6월