May
23
CouchDB未授权访问漏洞安全通告
文 / UCloud
2023-12-29
尊敬的UCloud用户:
近期CouchDB数据库被爆存在未授权访问漏洞,该漏洞由于CouchDB配置不当引起,若被攻击者利用,可导致敏感信息泄露,进一步利用后可被攻击者用来执行系统命令。
影响对象:
未开启认证、对公网开放的CouchDB服务器。
检测方法:
1、检查主机的CouchDB服务是否对外,可通过netstat -anlp查看是否CouchDB服务端口绑定了“0.0.0.0”;
2、检查CouchDB的配置文件/etc/couchdb/local.ini中的“[admins]”字段,查看是否有配置密码,若未配置密码,则受影响。
修复方案:
1、设置CouchDB服务不对公网开放,具体操作方法如下:
修改CouchDB配置文件/etc/couchdb/local.ini 中的”bind_address = 0.0.0.0“,将 0.0.0.0 修改为 127.0.0.1 ,保存配置。
2、配置CouchDB访问密码
修改CouchDB配置文件 /etc/couchdb/local.ini中的“[admins]”字段,设置复杂密码(如UCloudwoaini@520#*; )。注:修改后CouchDB客户端也需要使用此密码来访问CouchDB服务。
3、修改CouchDB服务账户权限
以普通账户权限运行CouchDB服务,可配置couchDB账户仅允许登录。
4、设置防火墙策略
登陆UCloud管理控制台,通过“网络” -> “外网防火墙”,配置防火墙限制非授权IP登陆,仅允许指定的IP来访问CouchDB服务。
以上配置完成后,请重启CouchDB服务使配置生效。
2016年05月19日
UCloud云计算团队
