Alertas do Couchbase

A vulnerabilidade permite que invasores não autenticados com acesso à rede por meio de vários protocolos comprometam o Oracle Java SE, o Oracle GraalVM for JDK e o Oracle GraalVM Enterprise Edition. Ataques bem-sucedidos dessa vulnerabilidade podem resultar em acesso não autorizado para atualização, inserção ou exclusão de alguns dos dados acessíveis do Oracle Java SE, Oracle GraalVM for JDK e Oracle GraalVM Enterprise Edition.

The DES and Triple DES ciphers, as used in the TLS, SSH, and IPSec protocols and other protocols and products, have a birthday bound of approximately four billion blocks, which makes it easier for remote attackers to obtain cleartext data via a birthday attack against a long-duration encrypted session, as demonstrated by an HTTPS session using Triple DES in CBC mode, aka a “Sweet32” attack.

O cabeçalho Host de uma solicitação HTTP de entrada foi copiado às cegas para o cabeçalho Location.

SDK will negotiate with SCRAM-SHA by default which allows for a MITM to negotiate for PLAIN credentials

O acesso à memória fora dos limites no V8 do Google Chrome anterior à versão 120.0.6099.224 permitia que um invasor remoto explorasse potencialmente a corrupção de heap por meio de uma página HTML criada.

Foi encontrada uma falha no pacote python-cryptography. Esse problema pode permitir que um invasor remoto descriptografe mensagens capturadas em servidores TLS que usam trocas de chaves RSA, o que pode levar à exposição de dados confidenciais ou sensíveis.

The Query stats endpoint did not implement correct authentication, making it possible to view the stats information

Um usuário com o privilégio de Data Reader poderia interromper o Data Service enviando GetKeys solicitando um grande número de documentos, acionando um erro OOM (Out-of-Memory).

A user with Data Reader role could lock a Data Service reader thread for a significant time by requesting a high number of keys and potentially lock up all reader threads by issuing the same command on multiple connections

As portas de rede 9119 e 9121 eram portas de serviço RMI não autenticadas hospedadas pelo Analytics Service, o que poderia resultar em escalonamento de privilégios.

The cluster’s otpCookie was leaked to users with Full Admin role on API endpoint serverGroups and both Cluster Admin and Full Admin on API endpoint engageCluster2. This could be used to elevate privileges

Calling cURL via SQL++ (N1QL) using the Query Service to the localhost’s /diag/eval endpoint wasn’t fully prevented.

A proteção da lista de permissões cURL do SQL++ (N1QL) no Query Service não foi suficiente para impedir o acesso a hosts restritos.

Calling cURL via SQL++ (N1QL) via the Eventing Service to the local host’s /diag/eval endpoint wasn’t fully prevented.

Um evento de registro fez com que as credenciais internas de administrador do @ns_server vazassem de forma codificada no diag.log.

The private key used for Cross Datacenter Replication (XDCR) was leaked in the goxdcr.log

A falha no curl faz com que ele transborde um buffer baseado em heap no handshake do proxy SOCKS5.

Os aplicativos que usam as funções DH_generate_key() para gerar uma chave X9.42 DH e os aplicativos que usam DH_check_pub_key(), DH_check_pub_key_ex() ou EVP_PKEY_public_check() para verificar uma chave X9.42 DH ou parâmetros X9.42 DH podem sofrer grandes atrasos. Quando a chave ou os parâmetros que estão sendo verificados tiverem sido obtidos de uma fonte não confiável, isso pode levar a uma negação de serviço.

O protocolo HTTP/2 permite uma negação de serviço porque o cancelamento da solicitação pode redefinir muitos fluxos rapidamente.

O protocolo HTTP/2 permite uma negação de serviço porque o cancelamento da solicitação pode redefinir muitos fluxos rapidamente.

Uma vulnerabilidade no OpenSSL relacionada à verificação de cadeias de certificados X.509 que incluem restrições de política, o que permitiria que os invasores explorassem essa vulnerabilidade criando uma cadeia de certificados maliciosa que aciona o uso exponencial de recursos computacionais, levando a um ataque de negação de serviço (DoS) nos sistemas afetados.

Um fluxo HTTP/2 criado de forma maliciosa pode causar consumo excessivo de CPU no decodificador HPACK, suficiente para causar uma negação de serviço a partir de um pequeno número de pequenas solicitações.

A confusão de tipos no V8 do Google Chrome anterior à versão 114.0.5735.110 permitia que um invasor remoto explorasse potencialmente a corrupção de heap por meio de uma página HTML criada.

Atualize o OpenJDK para a versão 11.0.19 para resolver vários CVEs.

A interface de usuário do Windows do Couchbase Server permite que um invasor atravesse o sistema de arquivos e exiba os arquivos aos quais o Couchbase tem acesso. Essa vulnerabilidade não exige nenhuma autenticação. Ela pode ser explorada apenas acrescentando pastas/arquivos ao URL da UI de administração do Couchbase Server.

Um usuário mal-intencionado pode facilmente travar um servidor memcached ao se conectar ao servidor e começar a enviar comandos grandes.

A chave privada é vazada para o debug.log ao adicionar um nó pré-7.0 ao cluster 7.2.

Em versões anteriores à 4.1.86.Final, um StackOverflowError pode ser gerado ao analisar uma mensagem malformada criada devido a uma recursão infinita.

O ponto de extremidade do FTS stats em /api/nsstats não implementa a autenticação correta, portanto, é possível visualizar os nomes dos buckets do Couchbase Server, os nomes dos índices do FTS e a configuração dos índices do FTS sem autenticação. O conteúdo dos buckets e índices não é exposto.

Durante uma falha de união de nós, as credenciais não editadas do usuário que faz a solicitação REST podem vazar para os arquivos de registro.

Durante a inicialização de um nó de servidor do couchbase, há um curto período de tempo em que o cookie de segurança é definido como "nocookie", o que não oferece controles de acesso ao protocolo de distribuição Erlang. Se um invasor se conectar a esse protocolo durante esse período, ele poderá executar código arbitrário remotamente em qualquer nó do cluster a qualquer momento até que a conexão seja interrompida. O código executado estará sendo executado com os mesmos privilégios que o servidor Couchbase.

A exaustão de recursos do Couchbase Analytics Service pode ocorrer devido à falta de uma verificação para evitar o uso de arrays profundamente aninhados.

Um corpo de solicitação HTTP extremamente grande (ou ilimitado) pode fazer com que o serviço de backup cause um erro OOM (out-of-memory).

O mecanismo Javascript v8 usado no Couchbase Server Eventing Service, View Engine, XDCR e N1QL UDFs foi atualizado, pois há uma confusão de tipos nas versões anteriores à 99.0.4844.84 que permitia que um invasor remoto explorasse potencialmente a corrupção de heap por meio de uma solicitação criada.

Um invasor pode usar arquivos Parquet, como opcionalmente usados pelo Couchbase Analytics Service, para causar uma negação de serviço (DoS) se os arquivos maliciosos contiverem valores impróprios no cabeçalho da página do arquivo (por exemplo, valores negativos onde se espera um valor positivo). Isso é resolvido com a atualização da biblioteca Apache Parquet para uma versão mais recente.

Ao usar o recurso tls/ssl no servidor couchbase, é possível ignorar a autenticação do cliente em determinadas situações. Especificamente, qualquer aplicativo que use o servidor ssl/tls/dtls e a opção de certificação do cliente "{verify, verify_peer}" são afetados por essa vulnerabilidade. As correções foram lançadas nas trilhas compatíveis com os patches 23.3.4.15, 24.3.4.2 e 25.0.2 do tempo de execução do erlang/OTP. Somente os clusters que usam autenticação baseada em certificado são afetados.

Algumas falhas raras podem fazer com que a chave privada do certificado gerado seja vazada para os arquivos de registro.

Atualização da linguagem de programação Go e das bibliotecas associadas usadas em vários serviços do Couchbase Server para as versões 1.17.9+ ou 1.18.1+ para resolver várias CVEs.

jackson-databind, before 2.13.0 allows a Java StackOverflow exception and denial of service via a large depth of nested objects. This library is used by the Couchbase Server Analytics Service.

Atualização do openssl para corrigir uma falha em um componente do openssl, o c_rehash. Esse script examina diretórios e obtém um valor de hash de cada arquivo .pem e .crt no diretório. Em seguida, ele cria links simbólicos para cada um dos arquivos nomeados pelo valor de hash. Ele tem uma falha que permite a injeção de comandos no script.

In Couchbase Server 7.1.0 and later it’s possible to provide a passphrase to Couchbase Server to unlock an encrypted TLS private key. This passphrase was found to be leaked in the log files as a Base64 encoded string when one of the Couchbase services, other than the Data Service, was starting up. This affects the Index Service, Query Service, Analytics Service, Backup Service and Eventing Service if the optional encrypted TLS keys feature is used. Note, an attacker needs to have access to the logs as well as the private key to be able to perform attacks such as performing a man in the middle attack or decrypting network communication. Using operating system protections to restrict access to these files can be an effective mitigation strategy.

Ramda 0.27.0 and earlier allows attackers to compromise integrity or availability of application via supplying a crafted object (that contains an own property “{}proto{}”) as an argument to the function, known as prototype pollution. Prototype pollution type attacks allow bypassing input validation and triggering unexpected javascript execution.

js-beautify has a dependency with a known vulnerability, Minimist. Minimist <=1.2.5 is vulnerable to Prototype Pollution via file index.js, function setKey() (lines 69-95). Prototype pollution attacks allow bypassing input validation and triggering unexpected javascript execution.

Ao criar índices secundários com o Couchbase Server Analytics Service, há algumas validações nos campos indexados que são relatadas ao usuário e registradas. A mensagem de erro com o código ASX0013 é usada em vários caminhos para informar e registrar que há um nome de campo duplicado. Os nomes dos campos nessas mensagens de validação registradas não são redigidos. Além disso, os erros com o código ASX1079 têm nomes de campos que não são redigidos.

Em caso de falha no estabelecimento da conexão TLS para um Analytics Remote Link configurado com encryption=full, o tempo de execução tentaria descobrir a porta TLS (não padrão) tentando uma conexão não TLS com o cluster remoto, usando SCRAM-SHA para autenticação. Embora as credenciais não sejam compartilhadas quando o SCRAM-SHA é usado, não se pode esperar que o sistema faça o downgrade do nível de criptografia prescrito que especificou uma conexão TLS. Esse mecanismo de fallback foi removido e, em uma falha no estabelecimento inicial de uma conexão TLS, o CONNECT LINK simplesmente falhará até que a porta TLS correta seja fornecida como parte da configuração do link.

Se o serviço de backup não conseguir registrar uma mensagem de auditoria, ele vaza os dados do registro de auditoria para o backup_service.log, que não é redigido.

O pacote golang.org/x/text/encoding/unicode que pode fazer com que o decodificador UTF-16 entre em um loop infinito, causando o travamento do programa ou a falta de memória.

O couchbase-cli gera um processo erlang de vida muito curta que tem a senha mestra como argumento do processo, o que significa que, se alguém obtiver a lista de processos naquele momento, terá a senha mestra. Isso afeta apenas os clusters do Couchbase Server que utilizam o recurso Gerenciamento de segredos.

Se uma função RBAC contiver uma permissão em nível de coleção (por exemplo, query_select[src:_default:Collection1]) e o nome da coleção for excluído e recriado no bucket, a permissão em nível de coleção ainda será válida. Isso permite que o usuário com a função acesse a coleção, embora sua permissão devesse ter sido removida quando a coleção foi excluída.

Nas versões afetadas do Couchbase Server, as configurações internas do XDCR podem ser modificadas sem qualquer autenticação.

Nas versões afetadas do Couchbase Server, o "cookie" do Erlang é passado por meio de um argumento de linha de comando para o 'erl' ao usar o comando 'server-eshell'; isso divulgou o "cookie" para todos que pudessem ler os argumentos do processo 'couchbase-cli'. O cookie deve permanecer secreto, pois pode ser usado para executar tarefas administrativas no cluster.

Foi encontrada uma falha no Python. Uma resposta HTTP tratada incorretamente no código do cliente HTTP do Python pode permitir que um invasor remoto, que controla o servidor HTTP, faça o script do cliente entrar em um loop infinito, consumindo tempo da CPU. Esse problema afeta apenas os clusters que usam o recurso de visualização do desenvolvedor, Analytics UDFs.

Uma falha durante o carregamento de um bucket de amostras (beer-sample, gamesim-sample, travel-sample) pode vazar a senha do usuário administrador interno @ns_server nos registros (debug.log, error.log, info.log, reports.log). A conta @ns_server pode ser usada para executar ações administrativas.

Ao realizar adições de nós de cluster, uma falha do Cluster Manager (ns_server) pode fazer com que a chave privada vaze para os arquivos de registro. Alguém que tenha acesso aos arquivos de registro pode ser capaz de descriptografar conexões de rede seguras com o cluster. Se o TLS for usado, as credenciais de usuários e aplicativos que fazem login no cluster poderão ser adquiridas.

Diagnostic endpoints such as diag/eval are restricted and can only be executed from the loopback network. However, the checks put in place to address CVE-2018-15728 do not correctly check if a “X-Forwarded-For” header contains a loopback address. This header can be manipulated to workaround the loopback restriction.

A vulnerabilidade é limitada a solicitações originadas de redes privadas e espaços de endereços compartilhados, de acordo com a RFC6890.

Para poder emitir solicitações com êxito a esses endpoints, um usuário precisa de privilégios administrativos completos, independentemente do cabeçalho "X-Forwarded-For" usado.

Uma solução alternativa para esse problema é bloquear as solicitações para os nós do Couchbase Server que contêm cabeçalhos "X-Forwarded-For" em ambientes em que eles não são necessários.

Reconhecimento: Mucahit Karadag / PRODAFT

The Index Service runs several network processes, Queryport, Dataport and Adminport. These are used to communicate with other Couchbase services. These processes take part in node to node communication, but do not communicate directly with SDK applications. In the affected versions of Couchbase Server, these network processes do not enforce authentication, so will process requests sent by unauthenticated users.

O servidor Queryport pode responder a um usuário não autenticado com resultados de varredura de índice.

O servidor Dataport pode permitir que usuários não autenticados modifiquem dados indexados.

O servidor Adminport pode permitir que usuários não autenticados realizem operações DDL (como criar e soltar índices).

Possível solução alternativa: Como essas portas são usadas somente para comunicação interna pelo Couchbase Server, qualquer conexão/comunicação com nós e processos que não sejam do Couchbase Server pode ser desativada na camada de rede.

Usuários não autenticados podem fazer uma chamada de API REST para o gerenciador de cluster. Cada solicitação http que não tenha sido vista antes pelo gerenciador de cluster leva à criação de uma nova métrica. Cada nova métrica ocupa alguma memória e algum espaço em disco, o que pode criar um vazamento de memória e de espaço em disco. Se forem usados recursos suficientes, isso poderá causar falha em um nó do Couchbase Server.

Quando o Sync Gateway é configurado para autenticar com o Couchbase Server usando certificados de cliente X.509, as credenciais de administrador fornecidas à API REST de administração são ignoradas, resultando em escalonamento de privilégios para usuários não autenticados. A API REST pública não é afetada por esse problema.

Solução alternativa: Substitua a autenticação baseada em certificado X.509 pela autenticação de nome de usuário e senha dentro da configuração de bootstrap.

Os administradores que adicionam um nó não confiável a um cluster podem, inadvertidamente, correr o risco de transmitir o cookie do cluster, que deve permanecer secreto.

This can be addressed by deploying TLS encryption with Certificate Authority signed certificates. When using TLS, a trusted certificate is required to be present on the incoming node from Couchbase Server version 7.1.0.

Reconhecimento: Ofir Hamam, security researcher at EY Israel’s Advanced Security Center

Couchbase Operator 2.2.0 introduced an optimization that simplified log collection. When logs are collected, the support tool – “cbopinfo” – is used to collect Kubernetes resources necessary to gain insight into intended resource state, and current resource status. Prior to the affected versions, secret data was redacted, however this functionality was not retained in the new collection method. As a result, logs would have erroneously contained any passwords, tokens, and private keys within the scope of the log collection. By default, this scope will be limited to the Kubernetes namespace in which the Couchbase Server cluster under inspection resides. The exception to this is if the –system flag was specified, in which case all secrets on the platform will have been exposed. Logs are used to identify and remediate customer issues, and therefore only customers that have supplied logs, with the specified tool versions, are affected. Couchbase will ensure that all affected logs which have been provided are redacted.

Um problema crítico no utilitário Apache Log4J, usado pelo Couchbase Analytics Service, precisa ser atualizado para evitar a possível execução remota de código (RCE) e a extração de dados confidenciais.

As credenciais do bucket usadas pelo Sync Gateway para ler e gravar dados no Couchbase Server estavam sendo armazenadas de forma insegura nos metadados dos documentos de sincronização gravados no bucket. Os usuários com acesso de leitura podiam usar essas credenciais para obter acesso de gravação. Esse problema não afeta os clusters em que o Sync Gateway é autenticado com certificados de cliente x.509. Esse problema também não afeta os clusters em que o acesso ao bucket compartilhado não está ativado no Sync Gateway.

Remote Cluster XDCR credentials can get leaked in debug logs. Config key tombstone purging was added in Couchbase Server 7.0.0. This issue happens when a config key, which is being logged, has a tombstone purger time-stamp attached to it.

As part of a cbcollect_info log collection, Couchbase Server collects the process info of all the processes running in the Erlang VM. The issue occurs when the cluster manager forwards an HTTP request from the pluggable UI (query workbench, etc.) to the specific service. In the backtrace, the Basic Auth Header included in the HTTP request, has the “@” user credentials of the node processing the UI request. For the issue to occur, the process info has to be triggered at the exact moment when a pluggable UI request is being serviced by the cluster manager.

Foi descoberto um problema no urllib3 antes da versão 1.26.5, usado pelas ferramentas de linha de comando do Couchbase Server. Quando essas ferramentas recebem um URL contendo muitos caracteres @ no componente de autoridade, a expressão regular de autoridade apresenta um retrocesso catastrófico, causando uma negação de serviço da ferramenta de linha de comando se um URL for passado como parâmetro ou redirecionado por meio de um redirecionamento HTTP.

No pacote de criptografia anterior à versão 3.3.2 para Python, usado pelas ferramentas de linha de comando do Couchbase Server, determinadas sequências de chamadas de atualização para criptografar simetricamente valores de vários GB podem resultar em um estouro de inteiro e estouro de buffer nessa ferramenta.

Isso pode causar a indisponibilidade do Serviço de Dados. Recomenda-se usar um firewall para permitir que apenas o tráfego de rede de seus aplicativos se comunique com o cluster do Couchbase Server.

Isso pode causar a indisponibilidade do Serviço de Dados. Recomenda-se usar um firewall para permitir que apenas o tráfego de rede de seus aplicativos se comunique com o cluster do Couchbase Server.

Se um servidor LDAP ou Active Directory, usado para autenticação externa, estiver configurado para permitir associações não autenticadas inseguras, o Couchbase Server Cluster Manager permitirá que um usuário externo seja autenticado com uma senha vazia.

Os servidores LDAP podem ser configurados para falhar em solicitações de Unauthenticated Bind com um resultCode de "unwillingToPerform" para evitar que isso ocorra.

Vários problemas de segurança resolvidos no OpenSSL, um dos quais poderia causar o travamento do servidor TLS se fosse enviada uma mensagem ClientHello de renegociação maliciosamente criada por um cliente.

Problema no Angular usado pela interface do usuário do Couchbase que pode causar uma negação de serviço ao modificar a função merge().

As consultas Common Table Expression N1QL não respeitavam corretamente os controles de segurança RBAC, dando acesso de leitura a usuários que não tinham a autorização necessária.

A rare condition that is triggered when Auditing is enabled for the View Engine and Node to Node encryption is enabled. If Couchbase Server is unable to check the remote hostname and port of an incoming internal command (view-merge request) over TLS, an error is logged which contains unredacted Base64 encoded authentication information for an internal user with administrator privileges, @ns_server.

A temporary workaround is to disable View Engine auditing or Node to Node Encryption until an upgrade can be performed.

Couchbase Server was logging the temporary session cookie for a user when audited events containing a session ID were logged to the audit log and debug.log. An attacker with access to logging data could use this to impersonate an authenticated user.

A security issue in the buger/jsonparser (JSON parser for Go) library allows an attacker to cause a denial of service (DOS) in the Couchbase Server Search Service.

The Apache HttpClient, as used by the Couchbase Server Analytics Service, in versions prior to version 4.5.13 and 5.0.3 can misinterpret malformed authority component in request URIs passed to the library as java.net.URI object and pick the wrong target host for request execution.

The Python urllib3 library which is used by the requests Python library that in turn is used by the Couchbase CLI has a security issue in urllib3 versions before 1.24.2. The library mishandles certain cases where the desired set of CA certificates is different from the OS store of CA certificates, which results in SSL connections succeeding in situations where a verification failure is the correct outcome.

When the Couchbase Server REST endpoint receives an unknown request, the request is logged as an error in the debug.log and info.log. The log includes unredacted Base64-encoded authentication information. The error message also is shown in the logs tab of the UI.

Take care to manually redact any logs exported from the cluster on versions affected by this issue. Upgrading the cluster will automatically prevent the @ns_server password appearing in future log entries.

Internal rest calls (/listCreateTokens, /listRebalanceTokens, /listMetadataTokens) are getting logged into the indexer.log with unredacted Base64 encoded authentication information for internal users with administrator privileges, @cbq-engine-cbauth and @index-cbauth.

Communication between Erlang nodes is done by exchanging a shared secret (aka “magic cookie”). There are cases where the magic cookie is included in the content of the logs. An attacker can use the cookie to attach to an Erlang node and run OS-level commands on the system running the Erlang node.

Reconhecimento: Ofir Hamam, security researcher at EY Israel’s Advanced Security Center

The Slowloris is a type of denial-of-service attack that allows an attacker to take down a target web endpoint by sending requests that periodically send additional headers and never terminate. Reducing the timeout on receipt of HTTP headers is an effective mitigation of this attack and this is the approach taken in the cluster management and views REST endpoints.

A interface de usuário do Full Text Seach usa o AngularJS 1.4.7, para o qual existem algumas vulnerabilidades de segurança conhecidas de alta gravidade. Essas bibliotecas do AngularJS foram atualizadas para uma versão mais recente do Angular, que solucionou essas vulnerabilidades.

O Java 6 (JDK 1.6 - a versão de linha de base do SDK mais antiga) não oferecia suporte à verificação de nome de host imediatamente. Quando o SDK mudou para o Java 7 (Java 1.7) como linha de base, foi possível adicionar suporte. Isso aconteceu no jvm-core 1.7.11 (que se traduz em java-client 2.7.11). Em versões anteriores, não é possível adicioná-lo manualmente como uma solução alternativa, pois os recursos para personalizá-lo adequadamente não estão expostos. Observe que, para não interromper os aplicativos que dependem do comportamento antigo, a verificação do nome do host ainda está desativada por padrão, mas pode ser ativada na configuração do SDK (classe CouchbaseEnvironment).

O ponto de extremidade REST /settings exposto pelo processo do projetor é um ponto de extremidade que os administradores podem usar para várias tarefas, como atualizar a configuração e coletar perfis de desempenho. O ponto de extremidade não era autenticado e foi atualizado para permitir que apenas usuários autenticados acessem essas APIs administrativas.

Reconhecimento: Equipe de segurança da Apple

The Server REST API responds with a {{WWW-Authenticate}} header to unauthenticated requests which allows the user to authenticate via a user / password dialog in a web browser. The problem is that these credentials are cached by the browser which allows a hacker to use CSRF to attack a cluster in the event that an administrator has used their browser to check the results of a REST API request.
This behavior can be disabled by using couchbase-cli (couchbase-cli setting-security –set –disable-www-authenticate 1 -c localhost:8091 -u -p ). This is not disabled by default as it might break existing tools or scripts.

Reconhecimento: Equipe de segurança da Apple

Some enterprises require that REST API endpoints include security-related headers in REST responses. Headers such as X-Frame-Options and X-Content-Type-Options are generally advisable, however, some information security professionals additionally look for X-Permitted-Cross-Domain-Policies and X-XSS-Protection, which are more generally applicable to HTML endpoints, to be included too. These headers are now included in responses from the Couchbase Server Views REST API (port 8092).

Um invasor com acesso à API REST pública do Sync Gateway conseguiu emitir instruções N1QL adicionais e extrair dados confidenciais ou chamar funções N1QL arbitrárias por meio dos parâmetros "startkey" e "endkey" no endpoint "_all_docs". Ao emitir consultas aninhadas com operações que exigem muito da CPU, eles podem ter sido capazes de aumentar o uso de recursos e as condições de negação de serviço. O ponto de extremidade _all_docs não é necessário para a replicação do Couchbase Mobile, e o acesso externo a esse ponto de extremidade REST foi bloqueado para atenuar esse problema.

Reconhecimento: Denis Werner/HiSolutions AG

As informações do sistema enviadas ao Couchbase como parte de um relatório de bug incluíam os nomes de usuário de todos os usuários atualmente conectados ao sistema, mesmo que o registro fosse redigido para fins de privacidade.

Isso foi corrigido para que os nomes de usuário sejam marcados corretamente nos registros e sejam eliminados quando os registros forem redigidos.

O serviço de eventos expõe um perfil de diagnóstico do sistema por meio de um ponto de extremidade HTTP que não exige credenciais em uma porta destinada apenas ao tráfego interno. Isso foi corrigido e agora requer credenciais válidas para acesso.

O Couchbase Server expôs o ponto de extremidade "/diag/eval", que, por padrão, está disponível em TCP/8091 e/ou TCP/18091. Autenticado usuários que têm 'Administração completa' atribuída poderia enviar código Erlang arbitrário para o ponto de extremidade 'diag/eval' da API e o código seria posteriormente executado no sistema operacional subjacente com privilégios do usuário que foi usado para iniciar o Couchbase.

Reconhecimento: Equipe de segurança da Apple

O cookie usado para comunicação intra-nó não foi gerado com segurança. O Couchbase Server usa erlang:now() para semear o PRNG, o que resulta em um pequeno espaço de pesquisa para possíveis sementes aleatórias que poderiam ser usadas para forçar o cookie e executar código em um sistema remoto.

Reconhecimento: Equipe de segurança da Apple

A indexação secundária codifica as entradas a serem indexadas usando collatejson. Quando as entradas de índice continham determinados caracteres, como \t, , isso causava uma sobrecarga do buffer, pois a cadeia codificada seria muito maior do que a contabilizada, fazendo com que o serviço do indexador travasse e reiniciasse. Isso foi corrigido agora para garantir que o buffer sempre cresça conforme necessário para qualquer entrada.

Reconhecimento: D-Trust GmbH

Quando um certificado de cluster remoto inválido era inserido como parte da criação da referência, o XDCR não analisava e verificava a assinatura do certificado. Ele então aceitava o certificado inválido e tentava usá-lo para estabelecer conexões futuras com o cluster remoto. Isso foi corrigido. Agora, o XDCR verifica minuciosamente a validade do certificado e impede que uma referência de cluster remoto seja criada com um certificado inválido.

Nas versões do Couchbase Server anteriores à 5.0, o bucket denominado "default" era um bucket especial que permitia acesso de leitura e gravação sem autenticação. Como parte da versão 5.0, o comportamento de todos os buckets, inclusive o "default", foi alterado para permitir apenas o acesso de usuários autenticados com autorização suficiente. No entanto, os usuários tinham permissão de acesso não autenticado e não autorizado ao bucket "default" se as propriedades desse bucket fossem editadas. Isso foi corrigido.