2017-2094: Apache CouchDB: Zwei Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2017-11-21 16:43)

Neues Advisory

Betroffene Software

Server

Betroffene Plattformen

Linux

Beschreibung:

Eine Schwachstelle in Apache CouchDB ermöglicht einem entfernten, einfach authentisierten Angreifer seine Privilegien auf Administratorrechte im Kontext von CouchDB zu eskalieren (CVE-2017-12635). Eine weitere Schwachstelle ermöglicht dem Angreifer mit eskalierten Privilegien beliebigen Programmcode mit den Rechten des CouchDB-Systembenutzers auszuführen (CVE-2017-12636).

Apache hat die CouchDB Versionen 2.1.1 und 1.7.1 als Sicherheitsupdates veröffentlicht.

Fedora stellt für die Distributionen Fedora 26 und 27 Sicherheitsupdates für CouchDB in Form von 'couchdb-1.7.1-3'- und 'erlang-jiffy-0.14.13-1'-Paketen zur Behebung der Schwachstellen bereit. Diese Sicherheitsupdates haben derzeit noch den Status 'pending'.

Schwachstellen:

CVE-2017-12635

Schwachstelle in Apache CouchDB ermöglicht Privilegieneskalation

CVE-2017-12636

Schwachstelle in Apache CouchDB ermöglicht Ausführung beliebigen Programmcodes mit Benutzerrechten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.