2018-1774: Apache CouchDB: Zwei Schwachstellen ermöglichen die Ausführung beliebigen Programmcodes mit Benutzerrechten

Historie:

Version 1 (2018-09-03 12:51)

Neues Advisory

Version 2 (2018-09-20 17:31)

Für SUSE OpenStack Cloud Crowbar 8 steht ein Sicherheitsupdate für das Paket 'couchdb' bereit, welches die Schwachstelle CVE-2018-8007 adressiert.

Betroffene Software

Server

Betroffene Plattformen

Netzwerk
Cloud
Linux

Beschreibung:

In Apache CouchDB existieren zwei Schwachstellen, die es einem entfernten, einfach authentifizierten Angreifer mit Adminstratorrechten in CouchDB auf verschiedene Weisen ermöglichen, die Rechte des Systembenutzers zu erlangen, welcher CouchDB ausführt. Der Angreifer kann dadurch beliebigen Programmcode zur Ausführung bringen.

Die Schwachstellen wurden in Apache CouchDB 1.7.0 und 2.1.1 (CVE-2017-12636) beziehungsweise 1.7.2 und 2.1.2 (CVE-2018-8007) behoben.

Für SUSE OpenStack Cloud 7 und SUSE Enterprise Storage 4 stehen Sicherheitsupdates für 'couchdb' auf Version 1.7.2 bereit, mit denen beide Schwachstellen adressiert werden.

Schwachstellen:

CVE-2017-12636

Schwachstelle in Apache CouchDB ermöglicht Ausführung beliebigen Programmcodes mit Benutzerrechten

CVE-2018-8007

Schwachstelle in CouchDB ermöglicht Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.