Enterprise Security Alerts | Critical Couchbase Alerts

2025년 7월

동기화 게이트웨이 로그 수집 프로세스의 자격 증명 공개 취약점

특정 상황에서 지원을 위한 로그 수집과 관련된 자격 증명이 의도치 않게 공개될 수 있는 보안 취약점이 동기화 게이트웨이에서 발견되었습니다. 이 취약점은 로그 수집 프로세스를 시작하는 데 사용되는 자격 증명 집합에 영향을 미쳤습니다. 이 문제를 해결하는 Sync Gateway 3.2.6으로 업그레이드하고 영향을 받는 기간 동안 로그 수집을 시작하는 데 사용된 모든 자격 증명을 교체하는 것이 좋습니다.

Products: 카우치베이스 동기화 게이트웨이

Impact: Medium (6.5)

Affects Version:

3.2.5,
3.2.4,
3.2.3,
3.2.2,
3.2.1,
3.2.0,
3.1.x,
3.0.x

Fix Version:

3.2.6

CVE: CVE-2025-52490

2025년 6월

.NET SDK v3.7.1 이전 버전에서는 인증서 호스트 이름 확인을 건너뛸 수 있습니다.

.NET SDK v3.7.1 이전 버전에서는 TLS 인증서에 대한 호스트 이름 확인이 모든 경우에 제대로 적용되지 않았습니다.

Products: 카우치베이스 .NET SDK

Impact: Medium (4.9)

Affects Version:

3.7.0,
3.6.x,
3.5.x,
3.4.x,
3.3.x,
3.2.x,
3.1.x,
3.0.x

Fix Version:

3.7.1

CVE: CVE-2025-49015

2025년 5월

바운시 캐슬을 1.79로 업그레이드하세요.

1.78 이전 버전의 Bouncy Castle Java 암호화 API에서 문제가 발견되었습니다. 위조된 서명과 공개 키를 통해 Ed25519 인증 코드 무한 루프가 발생할 수 있습니다.

Products: 카우치베이스 서버

Impact: Medium (6.9)

Affects Version:

설치형 버전
7.6.5,
7.6.4,
7.6.3,
7.6.2,
7.6.1,
7.6.0,
7.2.6,
7.2.5,
7.2.4,
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x

Fix Version:

설치형 버전
7.6.6,
7.2.7

CVE: CVE-2024-30171 CVE-2024-29857 CVE-2024-30172

2025년 4월

윈도우용 카우치베이스 서버에서 로컬 파일 포함 취약점이 발견되었습니다.

시스템의 중요한 파일에 대한 무단 액세스를 허용할 수 있는 보안 문제가 Windows용 Couchbase Server에서 발견되었습니다. 이 취약점은 권한 수준에 따라 / etc / passwd 또는 / etc / shadow와 같은 파일에 대한 액세스 권한을 부여할 수 있습니다.

Products: 카우치베이스 서버

Impact: High (8.7)

Affects Version:

설치형 버전
7.6.3,
7.6.2,
7.6.1,
7.6.0,
7.2.6,
7.2.5,
7.2.4,
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x,
4.x,
3.x,
2.x

Fix Version:

설치형 버전
7.6.4,
7.2.7

CVE: CVE-2025-46619

2025년 4월

JDK를 17.0.13으로 업데이트

이 취약점은 악용하기는 어렵지만 여러 프로토콜을 통해 네트워크에 액세스할 수 있는 인증되지 않은 공격자가 영향을 받는 제품을 잠재적으로 손상시킬 수 있습니다. 익스플로잇에 성공하면 액세스 가능한 데이터의 무단 업데이트, 삽입 또는 삭제는 물론 특정 데이터 하위 집합에 대한 무단 읽기 액세스 권한이 부여될 수 있습니다.

Products: 카우치베이스 서버

Impact: Medium (4.8)

Affects Version:

설치형 버전
7.6.3,
7.6.2,
7.6.1,
7.6.0,
7.2.6,
7.2.5,
7.2.4,
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x

Fix Version:

설치형 버전
7.6.4,
7.2.7

CVE: CVE-2024-21235

2024년 12월

승격된 역할을 가진 사용자의 무단 생성

보안 관리자 역할이 있는 사용자가 '관리자' 역할이 있는 그룹에 새 사용자를 만들어 의도한 권한보다 높은 권한을 부여할 수 있습니다.

Products: 카우치베이스 서버

Impact: Medium (6.9)

Affects Version:

설치형 버전
7.6.3,
7.6.2,
7.6.1,
7.6.0

Fix Version:

설치형 버전
7.6.4

CVE: CVE-2024-56178

2024년 8월

JDK를 17.0.11로 업데이트

이 취약점을 통해 여러 프로토콜을 통해 네트워크에 액세스할 수 있는 인증되지 않은 공격자가 Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition을 손상시킬 수 있습니다. 이 취약점을 공격하는 데 성공하면 일부 Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition 액세스 데이터에 대한 무단 업데이트, 삽입 또는 삭제 액세스가 허용될 수 있습니다.

Products: 카우치베이스 서버

Impact: Low (3.7)

Affects Version:

설치형 버전
7.6.1,
7.6.0,
7.2.5
7.2.4,
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x

Fix Version:

설치형 버전
7.6.2,
7.2.6

CVE: CVE-2024-21094 CVE-2024-21011 CVE-2024-21068 CVE-2024-21012

2024년 8월

SWEET32 취약점에 취약한 클러스터 관리 포트.

The DES and Triple DES ciphers, as used in the TLS, SSH, and IPSec protocols and other protocols and products, have a birthday bound of approximately four billion blocks, which makes it easier for remote attackers to obtain cleartext data via a birthday attack against a long-duration encrypted session, as demonstrated by an HTTPS session using Triple DES in CBC mode, aka a “Sweet32” attack.

Products: 카우치베이스 서버

Impact: High (8.7)

Affects Version:

설치형 버전
7.2.5,
7.2.4,
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x
4.x
3.x,
2.x

Fix Version:

설치형 버전
7.6.0,
7.2.6

CVE: CVE-2016-2183 CVE-2016-6329

2024년 8월

헤더 조작 취약점.

들어오는 HTTP 요청의 호스트 헤더가 위치 헤더에 맹목적으로 복사되었습니다.

Products: 카우치베이스 서버

Impact: Medium (4.2)

Affects Version:

설치형 버전
7.6.1,
7.6.0,
7.2.5,
7.2.4,
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x,
4.x,
3.x,
2.x

Fix Version:

설치형 버전
7.6.2,
7.2.6

CVE: CVE-2024-25673

2024년 7월

원격 링크 암호화가 HALF로 구성된 경우 자격 증명은 SCRAM-SHA를 사용하여 KV와 협상합니다.

SDK는 기본적으로 SCRAM-SHA와 협상하여 MITM이 일반 자격 증명을 위해 협상할 수 있도록 합니다.

Products: 카우치베이스 서버

Impact: Medium (5.9)

Affects Version:

설치형 버전
7.6.0,
7.2.4,
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x

Fix Version:

설치형 버전
7.6.1,
7.2.5

CVE: CVE-2024-37034

2024년 7월

v8을 12.1.285.26으로 업그레이드하세요.

120.0.6099.224 이전 버전의 Google Chrome에서 V8의 범위를 벗어난 메모리 액세스로 인해 원격 공격자가 조작된 HTML 페이지를 통해 힙 손상을 악용할 수 있는 가능성이 발견되었습니다.

Products: 카우치베이스 서버

Impact: High (8.8)

Affects Version:

설치형 버전
7.2.4,
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.x,
5.x,
4.x,
3.x,
2.x

Fix Version:

설치형 버전
7.6.2,
7.2.5

CVE: CVE-2024-0519

2024년 7월

pyca-암호화를 42.0.5로 업그레이드합니다.

파이썬 암호화 패키지에서 결함이 발견되었습니다. 이 문제로 인해 원격 공격자가 RSA 키 교환을 사용하는 TLS 서버에서 캡처된 메시지를 해독하여 기밀 또는 민감한 데이터가 노출될 수 있습니다.

Products: 카우치베이스 서버

Impact: High (7.5)

Affects Version:

설치형 버전
7.6.1,
7.6.0

Fix Version:

설치형 버전
7.6.2,
7.2.5

CVE: CVE-2023-50782

2024년 1월

쿼리 서비스 통계 엔드포인트에 인증 없이 액세스할 수 있었습니다.

통계 쿼리 엔드포인트가 올바른 인증을 구현하지 않아 통계 정보를 볼 수 없습니다.

Products: 카우치베이스 서버

Impact: Medium (5.3)

Affects Version:

설치형 버전
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x,
4.x

Fix Version:

설치형 버전
7.2.4

CVE: CVE-2023-49338

2024년 1월

데이터 리더 역할을 가진 사용자가 데이터 서비스를 OOM 종료할 수 있습니다.

데이터 리더 권한이 있는 사용자가 많은 수의 문서를 요청하는 GetKey를 전송하여 데이터 서비스를 종료하고 메모리 부족(OOM) 오류를 트리거할 수 있습니다.

Products: 카우치베이스 서버

Impact: Medium (6.5)

Affects Version:

설치형 버전
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.6.x,
6.5.x

Fix Version:

설치형 버전
7.2.4

CVE: CVE-2023-45873

2024년 1월

데이터 리더는 리더 스레드를 DOS할 수 있습니다.

데이터 리더 역할을 가진 사용자는 많은 수의 키를 요청하여 데이터 서비스 리더 스레드를 상당한 시간 동안 잠글 수 있으며, 여러 연결에서 동일한 명령을 실행하여 모든 리더 스레드를 잠글 수도 있습니다.

Products: 카우치베이스 서버

Impact: Medium (4.3)

Affects Version:

설치형 버전
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.6.x,
6.5.x

Fix Version:

설치형 버전
7.2.4

CVE: CVE-2023-45874

2024년 1월

애널리틱스 서비스에서 인증되지 않은 RMI 서비스 포트가 노출되었습니다.

네트워크 포트 9119 및 9121은 애널리틱스 서비스에서 호스팅하는 인증되지 않은 RMI 서비스 포트로, 권한 상승을 초래할 수 있습니다.

Products: 카우치베이스 서버

Impact: Critical (9.1)

Affects Version:

설치형 버전
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x

Fix Version:

설치형 버전
7.2.4

CVE: CVE-2023-43769

2024년 1월

otpCookie was shown to a user with a Full Admin role on the Cluster Manager's API endpoints serverGroups and engageCluster2.

The cluster’s otpCookie was leaked to users with Full Admin role on API endpoint serverGroups and both Cluster Admin and Full Admin on API endpoint engageCluster2. This could be used to elevate privileges.

Products: 카우치베이스 서버

Impact: High (8.6)

Affects Version:

설치형 버전
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x,
4.x,
3.x,
2.x

Fix Version:

설치형 버전
7.2.4

CVE: CVE-2023-50437

2024년 1월

diag / eval에 대한 SQL++ cURL 호출이 충분히 제한되지 않았습니다.

Calling cURL via SQL++ (N1QL) using the Query Service to the localhost’s / diag / eval endpoint wasn’t fully prevented.

Products: 카우치베이스 서버

Impact: High (8.6)

Affects Version:

설치형 버전
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x

Fix Version:

설치형 버전
7.2.4

CVE: CVE-2023-49931

2024년 1월

SQL++ N1QL cURL 호스트 제한 구현 문제.

The SQL++ (N1QL) cURL allowlist protection in the Query Service, wasn’t sufficient in preventing accessing restricted hosts.

Products: 카우치베이스 서버

Impact: Medium (5.3)

Affects Version:

설치형 버전
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x

Fix Version:

설치형 버전
7.2.4

CVE: CVE-2023-49932

2024년 1월

진단 평가에 대한 SQL++ cURL 호출 이벤트가 충분히 제한되지 않았습니다.

Calling cURL via SQL++ (N1QL) via the Eventing Service to the local host’s diag eval endpoint wasn’t fully prevented.

Products: 카우치베이스 서버

Impact: High (8.6)

Affects Version:

설치형 버전
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.5.x

Fix Version:

설치형 버전
7.2.4

CVE: CVE-2023-49930

2024년 1월

클러스터 관리 자격 증명을 위한 내부 전체 관리자 사용자가 로그 파일에 유출되었습니다.

로깅 이벤트로 인해 내부 @ns_server 관리자 자격 증명이 diag.log에서 인코딩된 형태로 유출되었습니다.

Products: 카우치베이스 서버

Impact: Low (2.1)

Affects Version:

설치형 버전
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.6,
7.1.5

Fix Version:

설치형 버전
7.2.4

CVE: CVE-2023-50436

2024년 1월

XDCR 로그 파일에서 TLS 개인 키가 유출되었습니다.

데이터센터 간 복제(XDCR)에 사용되는 개인 키가 goxdcr.log에서 유출되었습니다.

Products: 카우치베이스 서버

Impact: Low (2.1)

Affects Version:

설치형 버전
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x,
4.5.x

Fix Version:

설치형 버전
7.2.4

CVE: CVE-2024-23302

2024년 1월

cURL을 8.4.0으로 업그레이드합니다.

컬의 결함으로 인해 SOCKS5 프록시 핸드셰이크에서 힙 기반 버퍼가 오버플로됩니다.

Products: 카우치베이스 서버

Impact: Critical (9.8)

Affects Version:

설치형 버전
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.6.x,
6.5.x

Fix Version:

설치형 버전
7.2.4

CVE: CVE-2023-38545

2024년 1월

OpenSSL 3.1.4로 업그레이드하세요.

DH_generate_key() 함수를 사용하여 X9.42 DH 키를 생성하는 애플리케이션과 DH_check_pub_key(), DH_check_pub_key_ex() 또는 EVP_PKEY_public_check()를 사용하여 X9.42 DH 키 또는 X9.42 DH 파라미터를 검사하는 애플리케이션은 긴 지연이 발생할 수 있습니다. 확인 중인 키 또는 매개변수가 신뢰할 수 없는 출처에서 가져온 경우 서비스 거부가 발생할 수 있습니다.

Products: 카우치베이스 서버

Impact: Medium (5.3)

Affects Version:

설치형 버전
7.2.3,
7.2.2,
7.2.1,
7.2.0,
7.1.x,
7.0.x,
6.x,
5.x,
4.x,
3.x,
2.x

Fix Version:

설치형 버전
7.2.4

CVE: CVE-2023-5678

2023년 11월

gRPC를 v1.58.3으로 업그레이드합니다.

HTTP/2 프로토콜은 요청 취소로 많은 스트림을 빠르게 초기화할 수 있기 때문에 서비스 거부를 허용합니다.

Products: 카우치베이스 서버

Impact: High (7.5)

Affects Version:

설치형 버전
7.2.2,
7.2.1,
7.2.0,
7.1.5,
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.x,
5.x,
4.x

Fix Version:

설치형 버전
7.2.3,
7.1.6

CVE: CVE-2023-44487

2023년 11월

Golang을 1.20.10으로 업그레이드하세요.

HTTP/2 프로토콜은 요청 취소로 많은 스트림을 빠르게 초기화할 수 있기 때문에 서비스 거부를 허용합니다.

Products: 카우치베이스 서버

Impact: High (7.5)

Affects Version:

설치형 버전
7.2.2,
7.2.1,
7.2.0,
7.1.5,
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.x,
5.x,
4.x

Fix Version:

설치형 버전
7.2.3,
7.1.6

CVE: CVE-2023-44487

2023년 11월

OpenSSL 1.1.1u로 업그레이드하세요.

정책 제약 조건이 포함된 X.509 인증서 체인의 검증과 관련된 OpenSSL의 취약점으로, 공격자는 이 취약점을 악용하여 악성 인증서 체인을 생성하여 컴퓨팅 리소스를 기하급수적으로 사용하여 영향을 받는 시스템에 대한 서비스 거부(DoS) 공격을 일으킬 수 있습니다.

Products: 카우치베이스 서버

Impact: High (7.5)

Affects Version:

설치형 버전
7.2.0,
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.x,
5.x,
4.x,
3.x,
2.x

Fix Version:

설치형 버전
7.2.1,
7.1.5

CVE: CVE-2023-0464

2023년 11월

GoLang을 1.19.9로 업데이트합니다.

악의적으로 조작된 HTTP/2 스트림은 HPACK 디코더에서 과도한 CPU 소비를 유발하여 소수의 소규모 요청으로 인해 서비스 거부를 일으킬 수 있습니다.

Products: 카우치베이스 서버

Impact: High (7.5)

Affects Version:

설치형 버전
7.2.0,
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.x,
5.x,
4.x

Fix Version:

설치형 버전
7.2.1,
7.1.5

CVE: CVE-2022-41723

2023년 11월

V8을 11.4.185.1로 업데이트하세요.

114.0.5735.110 이전 버전의 Google Chrome에서 V8의 유형 혼동으로 인해 원격 공격자가 조작된 HTML 페이지를 통해 힙 손상을 악용할 수 있었습니다.

Products: 카우치베이스 서버

Impact: High (8.0)

Affects Version:

설치형 버전
7.2.0,
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.x,
5.x,
4.x,
3.x,
2.x

Fix Version:

설치형 버전
7.2.1,
7.1.5

CVE: CVE-2023-3079 CVE-2023-2033

2023년 11월

OpenJDK를 11.0.19로 업데이트합니다.

OpenJDK를 버전 11.0.19로 업데이트하여 수많은 CVE를 해결하세요.

Products: 카우치베이스 서버

Impact: High (7.4)

Affects Version:

설치형 버전
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.6.x

Fix Version:

설치형 버전
7.1.5

CVE: CVE-2023-21930 CVE-2023-21954 CVE-2023-21967 CVE-2023-21939 CVE-2023-21938 CVE-2023-21937 CVE-2023-21968

2023년 11월

Windows 트래버스 보안 문제.

The Couchbase Server Windows UI allows an attacker to traverse the filesystem and display files that Couchbase has access to. This vulnerability doesn’t require any authentication. It’s exploitable with just appending folders/files to the Couchbase Server admin UI’s URL.

Products: 카우치베이스 서버

Impact: High (7.5)

Affects Version:

설치형 버전
7.2.0,
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.x,
5.x,
4.x,
3.x,
2.x

Fix Version:

설치형 버전
7.2.1,
7.1.5

CVE: CVE-2023-36667

2023년 11월

인증되지 않은 사용자는 멤캐시의 메모리 부족을 유발할 수 있습니다.

악의적인 사용자는 서버에 접속하여 대량의 명령을 전송함으로써 멤캐시드 서버를 쉽게 다운시킬 수 있습니다.

Products: 카우치베이스 서버

Impact: High (7.5)

Affects Version:

설치형 버전
7.2.0,
7.1.4,
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.6.x

Fix Version:

설치형 버전
7.2.1,
7.1.5

CVE: CVE-2023-43768

2023년 11월

7.0 이전 노드를 7.2 클러스터에 추가하는 동안 debug.log에서 개인 키가 유출되었습니다.

7.0 이전 노드를 7.2 클러스터에 추가할 때 개인 키가 debug.log로 유출됩니다.

Products: 카우치베이스 서버

Impact: Medium (4.4)

Affects Version:

설치형 버전
7.2.0

Fix Version:

설치형 버전
7.2.1

CVE: CVE-2023-45875

2023년 5월

Netty를 4.1.86.Final 이상으로 업데이트하세요.

4.1.86.Final 이전 버전에서는 무한 재귀로 인해 잘못 작성된 메시지를 구문 분석할 때 StackOverflowError가 발생할 수 있습니다.

Products: 카우치베이스 서버

Impact: Low (2.2)

Affects Version:

설치형 버전
6.6.6,
7.0.5,
7.1.3

Fix Version:

설치형 버전
7.2.0,
7.1.4

CVE: CVE-2022-41881 CVE-2022-41915

2023년 3월

전체 텍스트 검색(FTS) nsstats 엔드포인트는 인증 없이 액세스할 수 있습니다.

api/nsstats의 FTS 통계 엔드포인트는 올바른 인증을 구현하지 않으므로 인증 없이도 Couchbase Server 버킷 이름, FTS 인덱스 이름 및 FTS 인덱스의 구성을 볼 수 있습니다. 버킷과 인덱스의 내용은 노출되지 않습니다.

Products: 카우치베이스 서버

Impact: Medium (5.3)

Affects Version:

설치형 버전
7.1.3,
7.1.2,
7.1.1,
7.1.0,
7.0.x,
6.6.x

Fix Version:

설치형 버전
7.1.4

CVE: CVE-2023-28470

2023년 1월

노드 조인 중에 크래시가 발생하면 자격 증명이 로그에 유출될 수 있습니다.

노드 조인이 실패하는 동안 REST 요청을 하는 사용자의 수정되지 않은 자격 증명이 로그 파일로 유출될 수 있습니다.

Products: 카우치베이스 서버

Impact: Medium (6.3)

Affects Version:

설치형 버전
7.1.1,
7.1.0,
7.0.4,
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x,
4.x,
3.x,
2.x

Fix Version:

설치형 버전
7.1.2,
7.0.5,
6.6.6

CVE: CVE-2023-25016

2023년 1월

클러스터 노드를 다시 시작하는 동안 Couchbase 클러스터 관리자에는 액세스 제어 기능이 없습니다.

During the start of a couchbase server node there is a short time period where the security cookie is set to “nocookie” which lacks access controls over the Erlang distribution protocol. If an attacker connects to this protocol during this period, they can execute arbitrary code remotely on any cluster node at any point of time until their connection is dropped. The executed code will be running with the same privileges as the Couchbase Server.

Products: 카우치베이스 서버

Impact: Critical (9.8)

Affects Version:

설치형 버전
7.1.1,
7.1.0,
7.0.4,
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x

Fix Version:

설치형 버전
7.1.2,
7.0.5,
6.6.6

CVE: CVE-2022-42951

2023년 1월

취약점 해결을 위해 분석 서비스에서 사용되는 잭슨 데이터바인드를 2.13.4.2+로 업데이트했습니다.

깊게 중첩된 배열의 사용을 방지하는 검사가 부족하여 Couchbase 분석 서비스의 리소스 고갈이 발생할 수 있습니다.

Products: 카우치베이스 서버

Impact: High (7.5)

Affects Version:

설치형 버전
7.1.2,
7.1.1,
7.1.0,
7.0.4,
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1
6.6.0
6.5.x,
6.0.x,
5.x,
4.x

Fix Version:

설치형 버전
7.1.3,
7.0.5,
6.6.6

CVE: CVE-2022-42004 CVE-2022-42003

2023년 1월

REST API에 대한 HTTP 요청이 조작되면 백업 서비스 OOM이 발생할 수 있습니다.

매우 큰(또는 바인딩되지 않은) HTTP 요청 본문으로 인해 백업 서비스에서 OOM(메모리 부족) 오류가 발생할 수 있습니다.

Products: 카우치베이스 서버

Impact: Medium (4.9)

Affects Version:

설치형 버전
7.1.1,
7.1.0,
7.0.4,
7.0.3,
7.0.2,
7.0.1,
7.0.0

Fix Version:

설치형 버전
7.1.2,
7.0.5

CVE: CVE-2022-42950

2023년 1월

V8 자바스크립트 엔진이 10.7.x로 업데이트되었습니다.

The v8 Javascript engine as used in the Couchbase Server Eventing Service, View Engine, XDCR and N1QL UDFs has been updated as there’s a type confusion in versions prior to 99.0.4844.84 which allowed a remote attacker to potentially exploit heap corruption via a crafted request.

Products: 카우치베이스 서버

Impact: High (8.8)

Affects Version:

설치형 버전
7.1.1,
7.1.0,
7.0.4,
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.x,
5.x,
4.x,
3.x,
2.x

Fix Version:

설치형 버전
7.1.2,
7.0.5

CVE: CVE-2022-1096

2022년 11월

아파치 마루를 1.12.3으로 업데이트합니다.

An attacker can use Parquet files, as optionally used by the Couchbase Analytics Service, to cause a Denial of Service (DoS) if malicious files contain improper values in the file page header (e.g. negative values where positive value is expected). This is resolved by updating the Apache Parquet library to a later version.

Products: 카우치베이스 서버

Impact: High (7.5)

Affects Version:

설치형 버전
7.1.1,
7.1.0

Fix Version:

설치형 버전
7.1.2

CVE: CVE-2021-41561

2022년 11월

Erlang을 24.3.4.4 버전으로 업그레이드합니다.

When using the tls/ssl feature in couchbase server, it is possible to bypass client authentication in certain situations. Specifically, any application using the ssl/tls/dtls server, and the client certification option “{verify, verify_peer}” are affected by this vulnerability. Corrections have been released on the supported tracks with patches 23.3.4.15, 24.3.4.2, and 25.0.2 of the erlang/OTP runtime. Only clusters using certificate-based authentication are affected.

Products: 카우치베이스 서버

Impact: Critical (9.8)

Affects Version:

설치형 버전
7.1.1,
7.1.0

Fix Version:

설치형 버전
7.1.2

CVE: CVE-2022-37026

2022년 7월

특정 충돌 시 로그 파일에 개인 키가 유출됩니다.

드물지만 특정 충돌로 인해 생성된 인증서의 개인 키가 로그 파일에 유출될 수 있습니다.

Products: 카우치베이스 서버

Impact: Medium (6.3)

Affects Version:

설치형 버전
7.1.0,
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x,
4.x,
3.x

Fix Version:

설치형 버전
7.1.1,
7.0.4,
6.6.6

CVE: CVE-2022-32556

2022년 7월

GoLang을 최소 1.17.9 또는 1.18.1로 업데이트합니다.

여러 Couchbase Server 서비스에서 사용되는 Go 프로그래밍 언어 및 관련 라이브러리를 1.17.9+ 또는 1.18.1+ 버전으로 업데이트하여 수많은 CVE를 해결했습니다.

Products: 카우치베이스 서버

Impact: High (7.5)

Affects Version:

설치형 버전
7.1.0,
7.0.4,
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5x,
6.0.x,
5.x,
4.x

Fix Version:

설치형 버전
7.1.1,
7.0.5,
6.6.6

CVE: CVE-2022-24675 CVE-2022-23772 CVE-2022-24921

2022년 7월

잭슨-데이터바인드 라이브러리를 버전 2.13.2.2로 업데이트합니다.

jackson-databind, before 2.13.0 allows a Java StackOverflow exception and denial of service via a large depth of nested objects. This library is used by the Couchbase Server Analytics Service

Products: 카우치베이스 서버

Impact: Medium (6.5)

Affects Version:

설치형 버전
7.1.0,
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x

Fix Version:

설치형 버전
7.1.1,
7.0.4,
6.6.6

CVE: CVE-2020-36518

2022년 7월

openssl을 1.1.1o로 업데이트했습니다.

Updated openssl to fix a flaw in an openssl component, c_rehash. This script scans directories and takes a hash value of each .pem and .crt file in the directory. It then creates symbolic links for each of the files named by the hash value. It has a flaw that allows command injection in the script.

Products: 카우치베이스 서버

Impact: Critical (9.8)

Affects Version:

설치형 버전
7.1.0,
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x

Fix Version:

설치형 버전
7.1.1,
7.0.4,
6.6.6

CVE: CVE-2022-1292

2022년 7월

로그에서 암호화된 개인 키 암호가 유출될 수 있습니다.

In Couchbase Server 7.1.0 and later it’s possible to provide a passphrase to Couchbase Server to unlock an encrypted TLS private key. This passphrase was found to be leaked in the log files as a Base64 encoded string when one of the Couchbase services, other than the Data Service, was starting up. This affects the Index Service, Query Service, Analytics Service, Backup Service and Eventing Service if the optional encrypted TLS keys feature is used. Note, an attacker needs to have access to the logs as well as the private key to be able to perform attacks such as performing a man in the middle attack or decrypting network communication. Using operating system protections to restrict access to these files can be an effective mitigation strategy.

Products: 카우치베이스 서버

Impact: Medium (4.4)

Affects Version:

설치형 버전
7.1.0

Fix Version:

설치형 버전
7.1.1

CVE: CVE-2022-34826

2022년 7월

클라이언트 측 자바스크립트 라이브러리인 람다를 Couchbase Server UI에 사용되는 버전 0.28로 업데이트합니다.

Ramda 0.27.0 and earlier allows attackers to compromise integrity or availability of application via supplying a crafted object (that contains an own property “{}proto{}”) as an argument to the function, known as prototype pollution. Prototype pollution type attacks allow bypassing input validation and triggering unexpected javascript execution.

Products: 카우치베이스 서버

Impact: Critical (9.1)

Affects Version:

설치형 버전
7.1.0,
7.0.x

Fix Version:

설치형 버전
7.1.1

CVE: CVE-2021-42581

2022년 7월

카우치베이스 서버 UI에서 사용되는 클라이언트 측 자바스크립트 라이브러리인 js-beautify를 1.14.3으로 업데이트했습니다.

js-beautify에는 알려진 취약점인 Minimist에 대한 종속성이 있습니다. Minimist <=1.2.5는 index.js 파일, setKey() 함수(69-95행)를 통해 프로토타입 오염에 취약합니다. 프로토타입 오염 공격을 통해 입력 유효성 검사를 우회하고 예기치 않은 자바스크립트 실행을 트리거할 수 있습니다.

Products: 카우치베이스 서버

Impact: Critical (9.8)

Affects Version:

설치형 버전
7.1.0,
7.0.x

Fix Version:

설치형 버전
7.1.1

CVE: CVE-2021-44906

2022년 6월

필드 이름은 애널리틱스 서비스에 대해 기록된 유효성 검사 메시지에서 삭제되지 않습니다.

Couchbase 서버 분석 서비스로 보조 인덱스를 만들 때 인덱싱된 필드에 대해 사용자에게 보고되고 기록되는 몇 가지 유효성 검사가 있습니다. 코드 ASX0013의 오류 메시지는 중복된 필드 이름이 있다는 것을 보고하고 기록하는 여러 경로에서 사용됩니다. 이렇게 기록된 유효성 검사 메시지의 필드 이름은 삭제되지 않습니다. 또한 코드 ASX1079의 오류에는 삭제되지 않은 필드 이름이 있습니다.

Products: 카우치베이스 서버

Impact: Low (1.8)

Affects Version:

설치형 버전
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x

Fix Version:

설치형 버전
7.0.4,
6.6.6

CVE: CVE-2022-33911

2022년 6월

애널리틱스 원격 링크는 TLS 포트를 확인하기 위해 일시적으로 비-TLS 연결로 다운그레이드될 수 있습니다.

encryption=full로 구성된 Analytics 원격 링크에 대해 TLS 연결을 설정하지 못하면 런타임은 인증을 위해 SCRAM-SHA를 사용하여 원격 클러스터에 대한 비-TLS 연결을 시도하여 (기본값이 아닌) TLS 포트를 검색하려고 시도합니다. SCRAM-SHA를 사용할 때 자격 증명이 공유되지는 않지만, 시스템이 TLS 연결을 지정한 규정된 암호화 수준을 다운그레이드하지 않을 것으로 예상할 수 있습니다. 이 폴백 메커니즘이 제거되었으므로 처음에 TLS 연결 설정에 실패하는 경우 링크 구성의 일부로 올바른 TLS 포트가 제공될 때까지 연결 링크가 실패할 뿐입니다.

Products: 카우치베이스 서버

Impact: Low (2.0)

Affects Version:

설치형 버전
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0

Fix Version:

설치형 버전
7.0.4,
6.6.6

CVE: CVE-2022-33173

2022년 6월

백업 서비스 로그에서 수정되지 않은 사용자 이름과 문서 ID가 유출됩니다.

If the backup service fails to log an audit message, it leaks the audit log data into the backup_service.log which isn’t redacted.

Products: 카우치베이스 서버

Impact: Low (1.8)

Affects Version:

설치형 버전
7.0.x

Fix Version:

설치형 버전
7.1.0

CVE: CVE-2022-32565

2022년 6월

golang.org/x/text 패키지를 0.3.4 이상으로 업데이트하세요.

UTF-16 디코더가 무한 루프에 진입하여 프로그램이 충돌하거나 메모리가 부족해질 수 있는 golang.org/x/text/encoding/unicode 패키지를 발견했습니다.

Products: 카우치베이스 서버

Impact: High (7.5)

Affects Version:

설치형 버전
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x

Fix Version:

설치형 버전
7.0.4,
6.6.6

CVE: CVE-2020-14040

2022년 6월

couchbase-cli는 명령줄 인수로 시크릿 관리 마스터 비밀번호를 유출합니다.

couchbase-cli는 마스터 비밀번호를 프로세스 인수로 사용하는 매우 수명이 짧은 erlang 프로세스를 생성하므로, 그 시점에 프로세스 목록을 얻는 사람은 누구나 마스터 비밀번호를 갖게 됩니다. 이는 비밀 관리 기능을 사용하는 Couchbase Server 클러스터에만 영향을 줍니다.

Products: 카우치베이스 서버

Impact: Medium (5.5)

Affects Version:

설치형 버전
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x

Fix Version:

설치형 버전
7.0.4,
6.6.6

CVE: CVE-2022-32192

2022년 6월

오래된 RBAC 권한을 사용하여 수집에 성공할 수 있습니다.

RBAC 역할에 컬렉션 수준 권한(예: 쿼리_선택[src:_기본:컬렉션1])이 포함되어 있고 컬렉션 이름이 삭제되었다가 버킷에서 다시 만들어지는 경우에도 컬렉션 수준 권한은 계속 유효합니다. 따라서 컬렉션이 삭제될 때 해당 권한이 제거되었어야 하는 경우에도 해당 역할을 가진 사용자가 컬렉션에 액세스할 수 있습니다.

Products: 카우치베이스 서버

Impact: High (8.8)

Affects Version:

설치형 버전
7.0.3,
7.0.2,
7.0.1,
7.0.0

Fix Version:

설치형 버전
7.0.4

CVE: CVE-2022-32562

2022년 6월

XDCR - 내부 설정 변경 시 역할 확인이 부족합니다.

영향을 받는 Couchbase Server 버전에서는 인증 없이도 XDCR 내부 설정을 수정할 수 있습니다.

Products: 카우치베이스 서버

Impact: Medium (4.0)

Affects Version:

설치형 버전
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.x,
5.x,
4.x

Fix Version:

설치형 버전
7.0.4

CVE: CVE-2022-32560

2022년 6월

couchbase-cli: 서버-에쉘이 클러스터 관리자 쿠키를 유출합니다.

In affected versions of Couchbase Server, the Erlang “cookie” is passed via a command-line argument to ‘erl’ when using the ‘server-eshell’ command; this leaked the “cookie” to all who could read the ‘couchbase-cli’ process arguments. The cookie should remain secret as it can be used to perform administrative tasks in the cluster.

Products: 카우치베이스 서버

Impact: High (7.8)

Affects Version:

설치형 버전
7.0.3,
7.0.2,
7.1.0,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x,
4.x,
3.x,
2.x,
1.x

Fix Version:

설치형 버전
7.0.4,
6.6.6

CVE: CVE-2022-32564

2022년 6월

서비스 거부 문제를 해결하기 위해 Python이 3.9.12로 업데이트되었습니다.

파이썬에서 결함이 발견되었습니다. Python의 HTTP 클라이언트 코드에서 부적절하게 처리된 HTTP 응답으로 인해 HTTP 서버를 제어하는 원격 공격자가 클라이언트 스크립트를 무한 루프에 진입시켜 CPU 시간을 소모하도록 만들 수 있습니다. 이 문제는 개발자 미리 보기 기능인 애널리틱스 UDF를 사용하는 클러스터에만 영향을 줍니다.

Products: 카우치베이스 서버

Impact: High (7.5)

Affects Version:

설치형 버전
7.0.3,
7.0.2,
7.0.1,
7.0.0

Fix Version:

설치형 버전
7.0.4

CVE: CVE-2021-3737

2022년 6월

샘플 버킷 로딩 중 장애가 발생하면 내부 사용자 비밀번호가 유출될 수 있습니다.

샘플 버킷(맥주 샘플, 게임심 샘플, 여행 샘플)을 로드하는 동안 오류가 발생하면 내부 @ns_server 관리자 사용자의 비밀번호가 로그(debug.log, error.log, info.log, reports.log)에 유출될 수 있습니다. 관리 작업을 수행하는 데 @ns_server 계정을 사용할 수 있습니다.

Products: 카우치베이스 서버

Impact: Medium (6.4)

Affects Version:

설치형 버전
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.6.5,
6.6.4,
6.6.3,
6.6.2,
6.6.1,
6.6.0

Fix Version:

인증되지 않은 사용자는 클러스터 관리자에게 REST API 호출을 할 수 있습니다. 클러스터 관리자가 이전에 보지 못한 각 http 요청은 새로운 메트릭을 생성하게 됩니다. 각각의 새 메트릭은 약간의 메모리와 디스크 공간을 차지하므로 메모리 누수 및 디스크 공간 누수가 발생할 수 있습니다. 충분한 리소스가 사용되면 Couchbase Server 노드에 장애가 발생할 수 있습니다.

Products: 카우치베이스 서버

Impact: High (7.5)

Affects Version:

설치형 버전
7.0.3,
7.0.2,
7.0.1,
7.0.0

Fix Version:

설치형 버전
7.0.4

CVE: CVE-2022-32559

2022년 6월

동기화 게이트웨이에서 카우치베이스 서버로 X.509 클라이언트 인증서 인증을 사용할 때 관리자 자격 증명이 확인되지 않습니다.

동기화 게이트웨이가 X.509 클라이언트 인증서를 사용하여 Couchbase Server로 인증하도록 구성된 경우, 관리자 REST API에 제공된 관리자 자격 증명이 무시되어 인증되지 않은 사용자의 권한이 에스컬레이션될 수 있습니다. 공용 REST API는 이 문제의 영향을 받지 않습니다.

Products: 카우치베이스 동기화 게이트웨이

Impact: Critical (9.8)

Affects Version:

3.0.0,
3.0.1

Fix Version:

3.0.2

CVE: CVE-2022-32563

2022년 5월

신뢰할 수 없는 노드 추가는 클러스터 비밀을 수집하기 위해 조작될 수 있습니다.

관리자가 클러스터에 신뢰할 수 없는 노드를 추가하면 비밀로 유지되어야 하는 클러스터 쿠키가 실수로 전송될 위험이 있습니다.

이 문제는 인증 기관이 서명한 인증서를 사용하여 TLS 암호화를 배포하여 해결할 수 있습니다. TLS를 사용하는 경우, Couchbase Server 버전 7.1.0부터 수신 노드에 신뢰할 수 있는 인증서가 있어야 합니다.

인식: Ofir Hamam, security researcher at EY Israel’s Advanced Security Center

Products: 카우치베이스 서버

Impact: High (7.6)

Affects Version:

설치형 버전
7.0.3,
7.0.2,
7.0.1,
7.0.0,
6.x,
5.x,
4.x,
3.x,
2.x

Fix Version:

설치형 버전
7.1.0

CVE: CVE-2021-33504

2022년 3월

Kubernetes 환경에서 수집된 로그에서 삭제되지 않은 비밀.

Couchbase Operator 2.2.0 introduced an optimization that simplified log collection. When logs are collected, the support tool – “cbopinfo” – is used to collect Kubernetes resources necessary to gain insight into intended resource state, and current resource status. Prior to the affected versions, secret data was redacted, however this functionality was not retained in the new collection method. As a result, logs would have erroneously contained any passwords, tokens, and private keys within the scope of the log collection. By default, this scope will be limited to the Kubernetes namespace in which the Couchbase Server cluster under inspection resides. The exception to this is if the –system flag was specified, in which case all secrets on the platform will have been exposed. Logs are used to identify and remediate customer issues, and therefore only customers that have supplied logs, with the specified tool versions, are affected. Couchbase will ensure that all affected logs which have been provided are redacted.

Products: 카우치베이스 클라우드 네이티브 운영자

Impact: High (7.2)

Affects Version:

2.2.0,
2.2.1,
2.2.2

Fix Version:

2.2.3

CVE: CVE-2022-26311

2021년 12월

Apache Log4J 2.15.0으로 업데이트

Couchbase 분석 서비스에서 사용하는 Apache Log4J 유틸리티의 중요한 문제는 잠재적인 원격 코드 실행(RCE) 및 민감한 데이터 추출을 방지하기 위해 업데이트가 필요합니다.

Products: 카우치베이스 서버

Impact: Critical (10)

Affects Version:

설치형 버전
7.0.2,
7.0.1,
7.0.0,
6.6.3,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x

Fix Version:

설치형 버전
7.0.3,
6.6.4

CVE: CVE-2021-44228

2021년 10월

동기화 게이트웨이가 Couchbase Server 버킷 자격 증명을 안전하게 저장하지 못합니다.

동기화 게이트웨이가 Couchbase Server에서 데이터를 읽고 쓰기 위해 사용하는 버킷 자격 증명이 버킷에 기록된 동기화 문서 내의 메타데이터에 안전하지 않게 저장되고 있었습니다. 읽기 액세스 권한이 있는 사용자가 이러한 자격 증명을 사용하여 쓰기 액세스 권한을 얻을 수 있었습니다. 이 문제는 동기화 게이트웨이가 x.509 클라이언트 인증서로 인증된 클러스터에는 영향을 미치지 않습니다. 또한 이 문제는 동기화 게이트웨이에서 공유 버킷 액세스가 사용 설정되어 있지 않은 클러스터에는 영향을 미치지 않습니다.

Products: 카우치베이스 동기화 게이트웨이

Impact: Medium (6.5)

Affects Version:

2.8.2,
2.8.1,
2.8.0,
2.7.x

Fix Version:

2.8.3

CVE: CVE-2021-43963

2021년 10월

XDCR 원격 클러스터 자격 증명을 삭제하지 않는 로그

원격 클러스터 XDCR 자격 증명이 디버그 로그에서 유출될 수 있습니다. 이 문제는 로깅 중인 구성 키에 툼스톤 퍼지 타임스탬프가 첨부되어 있는 경우 발생하며, 카우치베이스 서버 7.0.0에서 추가되었습니다.

Products: 카우치베이스 서버

Impact: High (7.6)

Affects Version:

설치형 버전
7.0.1,
7.0.0

Fix Version:

설치형 버전
7.0.2

CVE: CVE-2021-37842

2021년 10월

백트레이스에서 크래시 오류 로그에 노출된 자격 증명

As part of a cbcollect_info log collection, Couchbase Server collects the process info of all the processes running in the Erlang VM. The issue occurs when the cluster manager forwards a HTTP request from the pluggable UI (query workbench, etc.) to the specific service. In the backtrace, the Basic Auth Header included in the HTTP request, has the “@” user credentials of the node processing the UI request. For the issue to occur, the process info has to be triggered at the exact moment when a pluggable UI request is being serviced by the cluster manager.

Products: 카우치베이스 서버

Impact: High (8.8)

Affects Version:

설치형 버전
7.0.1,
7.0.0,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x,
4.5.x

Fix Version:

설치형 버전
6.6.3,
7.0.2

CVE: CVE-2021-42763

2021년 10월

Python urllib3을 1.26.5 이상으로 업데이트하기

카우치베이스 서버 명령줄 도구에서 사용되는 1.26.5 이전의 urllib3에서 문제가 발견되었습니다. 이러한 도구에 권한 구성 요소에 @ 문자가 많이 포함된 URL이 제공되면 권한 정규식이 치명적인 역추적을 나타내며, URL이 매개 변수로 전달되거나 HTTP 리디렉션을 통해 리디렉션되는 경우 명령줄 도구의 서비스 거부를 유발할 수 있습니다.

Products: 카우치베이스 서버

Impact: High (7.5)

Affects Version:

설치형 버전
7.0.1,
7.0.0,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x

Fix Version:

설치형 버전
6.6.3,
7.0.2

CVE: CVE-2021-33503

2021년 10월

파이썬 암호화 패키지가 3.3.2로 업데이트되었습니다.

Python용 3.3.2 이전 암호화 패키지에서 Couchbase Server 명령줄 도구에서 사용하는 것처럼 다중 GB 값을 대칭적으로 암호화하기 위한 특정 업데이트 호출 시퀀스에서 해당 도구에서 정수 오버플로 및 버퍼 오버플로가 발생할 수 있습니다.

Products: 카우치베이스 서버

Impact: Critical (9.1)

Affects Version:

설치형 버전
7.0.1,
7.0.0,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x,
4.5.x

Fix Version:

설치형 버전
6.6.3,
7.0.2

CVE: CVE-2020-36242

2021년 9월

공격자가 특수하게 조작한 네트워크 패킷을 전송하면 멤캐시를 다운시킬 수 있습니다.

이로 인해 데이터 서비스를 사용할 수 없게 될 수 있습니다. 방화벽을 사용하여 애플리케이션의 네트워크 트래픽만 Couchbase Server 클러스터와 통신할 수 있도록 허용하는 것이 좋습니다.

Products: 카우치베이스 서버

Impact: High (8.2)

Affects Version:

설치형 버전
7.0.0,
6.6.2,
6.6.1,
6.6.0,
6.5.x

Fix Version:

설치형 버전
6.6.3,
7.0.1

CVE: CVE-2021-35944

2021년 9월

공격자가 특수하게 조작한 네트워크 패킷을 전송하면 멤캐시를 다운시킬 수 있습니다.

이로 인해 데이터 서비스를 사용할 수 없게 될 수 있습니다. 방화벽을 사용하여 애플리케이션의 네트워크 트래픽만 Couchbase Server 클러스터와 통신할 수 있도록 허용하는 것이 좋습니다.

Products: 카우치베이스 서버

Impact: High (8.2)

Affects Version:

설치형 버전
7.0.0,
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x,
4.6.x,
4.5.x

Fix Version:

설치형 버전
6.6.3,
7.0.1

CVE: CVE-2021-35945

2021년 8월

외부에서 관리되는 사용자는 RFC4513에 따라 빈 비밀번호를 사용할 수 없습니다.

외부 인증에 사용되는 LDAP 또는 Active Directory 서버가 안전하지 않은 비인증 바인딩을 허용하도록 구성된 경우, Couchbase 서버 클러스터 관리자는 외부 사용자가 빈 비밀번호로 인증될 수 있도록 허용합니다.

이를 방지하기 위해 결과 코드가 "unwillingToPerform"인 인증되지 않은 바인드 요청을 실패하도록 LDAP 서버를 구성할 수 있습니다.

Products: 카우치베이스 서버

Impact: Critical (9.8)

Affects Version:

설치형 버전
6.6.2,
6.6.1,
6.6.0,
6.5.x

Fix Version:

설치형 버전
6.6.3

CVE: CVE-2021-35943

2021년 8월

OpenSSL을 버전 1.1.1k로 업데이트하기

클라이언트에서 악의적으로 조작된 재협상 ClientHello 메시지를 전송할 경우 TLS 서버가 충돌할 수 있는 여러 보안 문제가 OpenSSL에서 해결되었습니다.

Products: 카우치베이스 서버

Impact: Medium / High (5.9, 7.4, 7.5)

Affects Version:

설치형 버전
6.6.2,
6.6.1,
6.6.0,
6.5.x

Fix Version:

설치형 버전
6.6.3

CVE: CVE-2021-23840 CVE-2021-3450 CVE-2021-3449

2021년 8월

AngularJS를 1.8.0으로 업데이트하기

merge() 함수를 수정하여 서비스 거부를 일으킬 수 있는 Couchbase UI에서 사용되는 Angular의 문제입니다.

Products: 카우치베이스 서버

Impact: High (7.5)

Affects Version:

설치형 버전
6.6.2,
6.6.1,
6.6.0,
6.5.x,
6.0.x,
5.x,
4.6.x,
4.5.x

Fix Version:

설치형 버전
6.6.3

CVE: CVE-2019-10768

2020년 2월

N1QL CTE(일반 테이블 표현식)가 액세스 제어를 잘못 처리했습니다.

일반 테이블 표현식 N1QL 쿼리가 RBAC 보안 제어를 올바르게 적용하지 않아 필요한 권한이 없는 사용자에게 읽기 액세스 권한을 부여했습니다.

Products: 카우치베이스 서버

Impact: Medium (6.5)

Affects Version:

설치형 버전
6.6.1,
6.6.0,
6.5.2,
6.5.1,
6.5.0

Fix Version:

설치형 버전
6.6.2

CVE: CVE-2021-31158

2020년 1월

앵귤러 1.6.9로 업그레이드하는 FTS UI

전체 텍스트 검색 사용자 인터페이스는 일부 심각도가 높은 보안 취약점이 존재하는 것으로 알려진 AngularJS 1.4.7을 사용합니다. 이러한 AngularJS 라이브러리는 이러한 취약점을 해결한 최신 버전의 Angular로 업데이트되었습니다.

Products: 카우치베이스 서버

Impact: High (7.4)

Affects Version:

6.0.2,
5.5.5

Fix Version:

6.5.0

CVE: CVE-2019-14863

2019년 4월

일부 기업에서는 REST API 엔드포인트가 REST 응답에 보안 관련 헤더를 포함하도록 요구합니다. 일반적으로 X-Frame-Options 및 X-Content-Type-Options와 같은 헤더가 권장되지만, 일부 정보 보안 전문가들은 HTML 엔드포인트에 더 일반적으로 적용되는 X-Permitted-Cross-Domain-Policies 및 X-XSS-Protection도 포함할 것을 추가로 요구하기도 합니다. 이러한 헤더는 이제 Couchbase 서버 보기 REST API(포트 8092)의 응답에 포함됩니다.

Products: 카우치베이스 서버

Impact: Medium (5.4)

Affects Version:

5.5.0
5.1.2

Fix Version:

6.0.2

CVE: CVE-2019-11464

2019년 2월

all_docs 시작키, 종료키를 통해 동기화 게이트웨이에서 N1QL 삽입 방지

An attacker with access to the Sync Gateway’s public REST API was able to issue additional N1QL statements and extract sensitive data or call arbitrary N1QL functions through the parameters “startkey” and “endkey” on the “_all_docs” endpoint. By issuing nested queries with CPU-intensive operations they may have been able to cause increased resource usage and denial of service conditions. The _all_docs endpoint is not required for Couchbase Mobile replication, and external access to this REST endpoint has been blocked to mitigate this issue.

인식: 데니스 베르너/하이솔루션즈 AG

Products: 카우치베이스 동기화 게이트웨이

Impact: High (7.6)

Affects Version:

2.1.2

Fix Version:

2.5.0,
2.1.3

CVE: CVE-2019-9039

2018년 12월

잘못된 원격 클러스터 인증서가 참조 생성의 일부로 입력된 경우, XDCR은 인증서 서명을 파싱하고 확인하지 않았습니다. 그런 다음 잘못된 인증서를 수락하고 향후 원격 클러스터에 대한 연결을 설정하는 데 사용하려고 시도했습니다. 이 문제는 수정되었습니다. 이제 XDCR은 인증서의 유효성을 철저히 확인하여 유효하지 않은 인증서로 원격 클러스터 참조가 생성되는 것을 방지합니다.

Products: 카우치베이스 서버

Impact: High (7.5)

Affects Version:

5.0.0

Fix Version:

5.5.0

CVE: CVE-2019-11497

2017년 12월

카우치베이스 서버에서 버킷 설정을 편집하면 자격 증명 없이도 인증할 수 있습니다.

In versions of Couchbase Server prior to 5.0, the bucket named “default” was a special bucket that allowed read and write access without authentication. As part of 5.0, the behavior of all buckets including “default” were changed to only allow access by authenticated users with sufficient authorization. However, users were allowed unauthenticated and unauthorized access to the “default” bucket if the properties of this bucket were edited. This has been fixed.

Products: 카우치베이스 서버

Impact: High (8.7)

Affects Version:

5.0.0

Fix Version:

5.1.0,
5.5.0

CVE: CVE-2019-11496

플랫폼

자체 관리

카펠라 제공 서비스

기능

왜 카우치베이스인가요?

카펠라로 마이그레이션

사용 사례별

산업별

애플리케이션 요구 사항별

인기 문서

개발자 역할별

빠른 시작

리소스 센터

정보

파트너십

서비스

파트너 거래 등록하기

카우치베이스에 거래를 등록할 준비가 되셨나요?

Marriott

카우치베이스 알림

동기화 게이트웨이 로그 수집 프로세스의 자격 증명 공개 취약점

.NET SDK v3.7.1 이전 버전에서는 인증서 호스트 이름 확인을 건너뛸 수 있습니다.

바운시 캐슬을 1.79로 업그레이드하세요.

윈도우용 카우치베이스 서버에서 로컬 파일 포함 취약점이 발견되었습니다.

JDK를 17.0.13으로 업데이트

승격된 역할을 가진 사용자의 무단 생성

JDK를 17.0.11로 업데이트

SWEET32 취약점에 취약한 클러스터 관리 포트.

헤더 조작 취약점.

원격 링크 암호화가 HALF로 구성된 경우 자격 증명은 SCRAM-SHA를 사용하여 KV와 협상합니다.

v8을 12.1.285.26으로 업그레이드하세요.

pyca-암호화를 42.0.5로 업그레이드합니다.

쿼리 서비스 통계 엔드포인트에 인증 없이 액세스할 수 있었습니다.

데이터 리더 역할을 가진 사용자가 데이터 서비스를 OOM 종료할 수 있습니다.

데이터 리더는 리더 스레드를 DOS할 수 있습니다.

애널리틱스 서비스에서 인증되지 않은 RMI 서비스 포트가 노출되었습니다.

otpCookie was shown to a user with a Full Admin role on the Cluster Manager's API endpoints serverGroups and engageCluster2.

diag / eval에 대한 SQL++ cURL 호출이 충분히 제한되지 않았습니다.

SQL++ N1QL cURL 호스트 제한 구현 문제.

진단 평가에 대한 SQL++ cURL 호출 이벤트가 충분히 제한되지 않았습니다.

클러스터 관리 자격 증명을 위한 내부 전체 관리자 사용자가 로그 파일에 유출되었습니다.

XDCR 로그 파일에서 TLS 개인 키가 유출되었습니다.

cURL을 8.4.0으로 업그레이드합니다.

OpenSSL 3.1.4로 업그레이드하세요.

gRPC를 v1.58.3으로 업그레이드합니다.

Golang을 1.20.10으로 업그레이드하세요.

OpenSSL 1.1.1u로 업그레이드하세요.

GoLang을 1.19.9로 업데이트합니다.

V8을 11.4.185.1로 업데이트하세요.

OpenJDK를 11.0.19로 업데이트합니다.

Windows 트래버스 보안 문제.

인증되지 않은 사용자는 멤캐시의 메모리 부족을 유발할 수 있습니다.

7.0 이전 노드를 7.2 클러스터에 추가하는 동안 debug.log에서 개인 키가 유출되었습니다.

Netty를 4.1.86.Final 이상으로 업데이트하세요.

전체 텍스트 검색(FTS) nsstats 엔드포인트는 인증 없이 액세스할 수 있습니다.

노드 조인 중에 크래시가 발생하면 자격 증명이 로그에 유출될 수 있습니다.

클러스터 노드를 다시 시작하는 동안 Couchbase 클러스터 관리자에는 액세스 제어 기능이 없습니다.

취약점 해결을 위해 분석 서비스에서 사용되는 잭슨 데이터바인드를 2.13.4.2+로 업데이트했습니다.

REST API에 대한 HTTP 요청이 조작되면 백업 서비스 OOM이 발생할 수 있습니다.

V8 자바스크립트 엔진이 10.7.x로 업데이트되었습니다.

아파치 마루를 1.12.3으로 업데이트합니다.

Erlang을 24.3.4.4 버전으로 업그레이드합니다.

특정 충돌 시 로그 파일에 개인 키가 유출됩니다.

GoLang을 최소 1.17.9 또는 1.18.1로 업데이트합니다.

잭슨-데이터바인드 라이브러리를 버전 2.13.2.2로 업데이트합니다.

openssl을 1.1.1o로 업데이트했습니다.

로그에서 암호화된 개인 키 암호가 유출될 수 있습니다.

클라이언트 측 자바스크립트 라이브러리인 람다를 Couchbase Server UI에 사용되는 버전 0.28로 업데이트합니다.

카우치베이스 서버 UI에서 사용되는 클라이언트 측 자바스크립트 라이브러리인 js-beautify를 1.14.3으로 업데이트했습니다.

필드 이름은 애널리틱스 서비스에 대해 기록된 유효성 검사 메시지에서 삭제되지 않습니다.

애널리틱스 원격 링크는 TLS 포트를 확인하기 위해 일시적으로 비-TLS 연결로 다운그레이드될 수 있습니다.

백업 서비스 로그에서 수정되지 않은 사용자 이름과 문서 ID가 유출됩니다.

golang.org/x/text 패키지를 0.3.4 이상으로 업데이트하세요.

couchbase-cli는 명령줄 인수로 시크릿 관리 마스터 비밀번호를 유출합니다.

오래된 RBAC 권한을 사용하여 수집에 성공할 수 있습니다.

XDCR - 내부 설정 변경 시 역할 확인이 부족합니다.

couchbase-cli: 서버-에쉘이 클러스터 관리자 쿠키를 유출합니다.

서비스 거부 문제를 해결하기 위해 Python이 3.9.12로 업데이트되었습니다.

샘플 버킷 로딩 중 장애가 발생하면 내부 사용자 비밀번호가 유출될 수 있습니다.

카우치베이스 서버의 클러스터 관리자 구성 요소가 충돌하는 동안 개인 키가 기록될 수 있습니다.