Vulnerabilità: CVE-2018-11769


CouchDB utenti amministrativi prima 2.2.0 possono configurare il server di database tramite HTTP (S). Dovuta alla convalida insufficiente di impostazioni di configurazione dall’amministratore fornita tramite l’API HTTP, è possibile per un utente amministratore CouchDB a degenerare loro privilegi a quella di utente del sistema operativo in cui viene eseguito couchdb, bypassando la lista nera di impostazioni di configurazione non consentiti essere modificato tramite l’API HTTP. Questa escalation privilegio consente effettivamente un utente amministratore CouchDB di ottenere arbitraria esecuzione di codice remoto, bypassando CVE-2.017-12.636 e CVE-2018-8007.
http://www.securityfocus.com/bid/105046
https://support.hpe.com/hpsc/doc/public/display?docLocale=en_US&docId=emr_na-hpesbmu03935en_us
https://lists.fedoraproject.org/archives/list/[email protected]/message/S5FPHVVU5KMRFKQTJPAM3TBGC7LKCWQS/
https://lists.fedoraproject.org/archives/list/[email protected]/message/X3JOUCX7LHDV4YWZDQNXT5NTKKRANZQW/
https://security.gentoo.org/glsa/201812-06
https://lists.apache.org/thread.html/[email protected]%3Cdev.couchdb.apache.org%3E
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11769

E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi