Apache CouchDB là một phiên bản khác của NoSQL. CouchDB được tạo ra vào năm 2005 bởi IBM Lotus Notes, lưu trữ dữ liệu dạng JSON và dùng Javascript như các câu truy vấn để lấy dữ liệu. Đây là một hệ quản trị cơ sở dữ liệu mã nguồn mở định hướng tài liệu (document-oriented), xếp thứ 28 trong hơn 300 hệ thống phổ biến nhất theo DB-Engines.
Nhà nghiên cứu Max Justicz đã phát hiện ra một lỗ hổng trong CouchDB khi tìm kiếm các lỗi trên máy chủ chịu trách nhiệm phân phối các gói npm tại địa chỉ registry.npmjs.org. Lỗ hổng này được định danh CVE-2017-12635, cho phép kẻ tấn công có thể khai thác, chiếm quyền quản trị và thực thi mã tùy ý.
Trong thông tin khuyến cáo tới người dùng, nhà phát triển CouchDB cho biết: “Do sự khác biệt giữa JSON parser dựa trên Erlang của CouchDB và JSON parser dựa trên JavaScript, có thể đưa vào các tài liệu _users bằng các phím trùng lặp cho các vai trò được sử dụng để kiểm soát truy cập trong cơ sở dữ liệu, kể cả trường hợp đặc biệt có vai trò _admin chỉ ra người dùng có quyền quản trị”.
Trong trường hợp của registry npm, việc khai thác lỗi có thể cho phép kẻ tấn công sửa đổi các gói phục vụ người dùng.
Bên cạnh đó, khi phân tích CVE-2017-12635, một thành viên nhóm bảo mật CouchDB đã phát hiện thêm lỗ hổng CVE-2017-12636, cho phép khai thác khi kết hợp với lỗ hổng leo thang đặc quyền để thực thi các lệnh shell tùy ý trên máy chủ.
Quản trị viên của CouchDB có thể cấu hình máy chủ cơ sở dữ liệu thông qua giao thức HTTP/HTTPS. Một số tùy chọn cấu hình bao gồm các đường dẫn để chạy các chương trình nhị phân mức hệ thống. Điều này cho phép người quản trị CouchDB thực hiện các lệnh shell tùy ý như người dùng, bao gồm tải và thực hiện các kịch bản từ Internet. Các lỗ hổng đã được vá lỗi trong các phiên bản 2.1.1 và 1.7.0/1.7.1.
(lược dịch)
11:00 | 05/12/2017
08:00 | 11/09/2020
16:00 | 16/12/2021
09:00 | 19/04/2024
Theo báo cáo của Financial Times, Google đang phát triển các tính năng nâng cao hỗ trợ bởi trí tuệ nhân tạo (AI) trong dịch vụ tìm kiếm của hãng. Tuy nhiên, để trải nghiệm tính năng này, người dùng sẽ phải trả thêm một khoản phí.
13:00 | 17/04/2024
Các chuyên gia của công ty bảo mật Bitdefender Labs (Hoa Kỳ) tiết lộ các lỗ hổng bảo mật nghiêm trọng của hơn 91.000 Tivi (TV) thông minh LG chạy nền tảng WebOS độc quyền của công ty. Nếu bị khai thác, lỗ hổng này có thể cho phép kẻ tấn công truy cập trái phép vào các chức năng của TV và có thể cả mạng gia đình của người dùng.
09:00 | 04/03/2024
Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) ngày 15/2 vừa qua đã bổ sung một lỗ hổng bảo mật hiện ảnh hưởng đến phần mềm thiết bị bảo mật thích ứng Cisco (Cisco Adaptive Security Appliance - ASA) và phần mềm phòng chống mối đe dọa hỏa lực (Firepower Threat Defense - FTD) vào danh mục Các lỗ hổng bị khai thác đã biết (KEV). Lỗ hổng này cũng có khả năng bị khai thác trong các cuộc tấn công ransomware của Akira.
08:00 | 10/02/2024
Theo thống kê của Liên Hợp Quốc, các doanh nghiệp vừa và nhỏ (SMB) đóng góp 50% tổng sản phẩm quốc nội toàn cầu và tạo thành trục xương sống của nền kinh tế của nhiều quốc gia. Trong bối cảnh chịu ảnh hưởng nặng nề bởi đại dịch COVID-19 và căng thẳng địa chính trị, các doanh nghiệp SMB đã cùng lúc phải đối mặt với những khủng hoảng về kinh tế và đặc biệt là các cuộc tấn công mạng. Bài báo sẽ trình bày về các mối đe dọa an ninh mạng chính đối với các doanh nghiệp SMB trong nửa đầu năm 2023, đồng thời đưa ra những khuyến nghị về cách đảm bảo an toàn thông tin, dựa trên báo cáo của hãng bảo mật Kaspersky.
Ngày 16/4, nhiều người dùng Facebook tại Việt Nam phản ánh về tình trạng không hiện thị các bài đăng trên trang cá nhân. Trong khi đó, nội dung vẫn được phân phối trên bảng tin bình thường.
10:00 | 22/04/2024