Apache CouchDB 官方發(fā)布安全通告，公告中修復(fù)了一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞，漏洞編號CVE-2022-24706?？蓪?dǎo)致遠(yuǎn)程攻擊者獲得管理員權(quán)限等危害。
為避免您的業(yè)務(wù)受影響，騰訊云安全建議您及時(shí)開展安全自查，如在受影響范圍，請您及時(shí)進(jìn)行更新修復(fù)，避免被外部攻擊者入侵。
漏洞詳情Apache CouchDB數(shù)據(jù)庫，它類似于Redis，Cassandra和MongoDB，也是一個(gè)NoSQL數(shù)據(jù)庫。 CouchDB將數(shù)據(jù)存儲為非關(guān)系性的JSON文檔。 這使得CouchDB的用戶可以以與現(xiàn)實(shí)世界相似的方式來存儲數(shù)據(jù)。

據(jù)官方描述，由于CouchDB的默認(rèn)安裝配置存在缺陷，最終可導(dǎo)致攻擊者通過訪問特定端口，繞過權(quán)限校驗(yàn)并獲得管理員權(quán)限。
風(fēng)險(xiǎn)等級高風(fēng)險(xiǎn)
漏洞風(fēng)險(xiǎn)攻擊者利用該漏洞可導(dǎo)致遠(yuǎn)程獲得管理員權(quán)限
影響版本CouchDB < 3.2.2

安全版本CouchDB >= 3.2.2

修復(fù)建議CouchDB 3.2.2 及更高版本將強(qiáng)制修改默認(rèn)的 Erlang cookie 值，并將所有 CouchDB 分發(fā)端口綁定到 `127.0.0.1` 或 `::1`，來緩解此問題。

請?jiān)u估業(yè)務(wù)是否受影響后，酌情升級至安全版本

【備注】：建議您在升級前做好數(shù)據(jù)備份工作，避免出現(xiàn)意外
漏洞參考https://lists.apache.org/thread/w24wo0h8nlctfps65txvk0oc5hdcnv00