今天我就来和大家聊聊如何分析CouchDB漏洞,可能很多人都不太了解。为了让大家更好的了解,边肖为大家总结了以下内容,希望大家能从这篇文章中有所收获。
0x00文档信息
Apache CouchDB是一个开源数据库,注重易用性,成为一个“完全包含web的数据库”[1]。它是一个以JSON为存储格式,JavaScript为查询语言,MapReduce和HTTP为API的NoSQL数据库。广泛使用,比如BBC用在其动态内容展示平台,瑞士瑞信银行用在其内部市场框架的商品部,Meebo用在其社交平台(web和应用)。
2017年11月15日,CVE-2017-12635、CVE-2017-12636披露,CouchDB暴露了远程代码执行的问题。对CVE-2017-12636的任意处决命令早在2016年就已披露,但并未引起关注。
00-1010 CVE-2017-12635是由于Erlang和JavaScript对JSON的解析方式不同导致的句子执行差异。非管理员用户可以使用它来授予自己管理员身份权限。
在CVE-2017-12636中,由于数据库本身的设计,管理员可以通过HTTP(S)配置数据库。在某些配置中,您可以设置可执行文件的路径,并在数据库操作的范围内执行它。结合CVE-2017-12635,可以实现远程代码执行。
0x02 漏洞分析
CVE-2017-12635的问题是Erlang和JavaScript在JSON中处理重复键的方式不同,比如{“A”:“1”“A”3360“2”},
二郎:
对于给定的键,Eralang解析器将存储两个值,但是JavaScript将只存储第二个值。但是当实现jiffy时,getter函数只返回第一个值。
除了进入认证脚本之外,几乎所有关于认证和授权的重要逻辑都发生在CouchDB的Erlang部分,所以这可以让当前用户赋予“_admin”身份。
检查jiffy解析器的源代码,找到patch:
找到补丁后,添加了dedupe_keys字段来标识重复的密钥,并重写了make_object方法,使得jiffy解析JSON的方法与JavaScript一致。
CVE-2017-12636的漏洞在于CouchDB本身的设计问题。CouchDB允许通过自己的HTTP(S) API对配置文件进行外部更改。一些配置选项包括操作系统级二进制文件的路径,稍后将由CouchDB启动。从这里获取shell通常非常简单,因为CouchDB的“query_servers”选项之一可以自定义语言,这个函数基本上只是一个包装器execv。
可以通过简单的概念验证来验证:
更改query_servers的配置,创建临时表,并调用query_servers处理数据。通过这种方式,可以执行shell并在指定的/tmp/6668文件中写入ifconfig信息。
这样,利用之前的CVE-2017-12365权限升级漏洞,可以实现远程代码执行:
0x03 全网影响
根据360CERT全网资产检索平台的实时显示,外网共开放了4943项CouchDB服务,主要在美国。
国内统计主要集中在广东和北京。
0x04 修复建议
1.所有用户都应该升级到CouchDB 1.7.1或2.1.1。
2.配置HTTP API配置参数和黑名单敏感配置信息。
看完以上内容,你对如何分析CouchDB漏洞有更好的理解吗?如果您想了解更多知识或相关内容,请关注行业资讯频道,感谢您的支持。
内容来源网络,如有侵权,联系删除,本文地址:https://www.230890.com/zhan/155660.html