Apache CouchDB là một phiên bản khác của NoSQL. CouchDB được tạo ra vào năm 2005 bởi IBM Lotus Notes, lưu trữ dữ liệu dạng JSON và dùng Javascript như các câu truy vấn để lấy dữ liệu. Đây là một hệ quản trị cơ sở dữ liệu mã nguồn mở định hướng tài liệu (document-oriented), xếp thứ 28 trong hơn 300 hệ thống phổ biến nhất theo DB-Engines.
Nhà nghiên cứu Max Justicz đã phát hiện ra một lỗ hổng trong CouchDB khi tìm kiếm các lỗi trên máy chủ chịu trách nhiệm phân phối các gói npm tại địa chỉ registry.npmjs.org. Lỗ hổng này được định danh CVE-2017-12635, cho phép kẻ tấn công có thể khai thác, chiếm quyền quản trị và thực thi mã tùy ý.
Trong thông tin khuyến cáo tới người dùng, nhà phát triển CouchDB cho biết: “Do sự khác biệt giữa JSON parser dựa trên Erlang của CouchDB và JSON parser dựa trên JavaScript, có thể đưa vào các tài liệu _users bằng các phím trùng lặp cho các vai trò được sử dụng để kiểm soát truy cập trong cơ sở dữ liệu, kể cả trường hợp đặc biệt có vai trò _admin chỉ ra người dùng có quyền quản trị”.
Trong trường hợp của registry npm, việc khai thác lỗi có thể cho phép kẻ tấn công sửa đổi các gói phục vụ người dùng.
Bên cạnh đó, khi phân tích CVE-2017-12635, một thành viên nhóm bảo mật CouchDB đã phát hiện thêm lỗ hổng CVE-2017-12636, cho phép khai thác khi kết hợp với lỗ hổng leo thang đặc quyền để thực thi các lệnh shell tùy ý trên máy chủ.
Quản trị viên của CouchDB có thể cấu hình máy chủ cơ sở dữ liệu thông qua giao thức HTTP/HTTPS. Một số tùy chọn cấu hình bao gồm các đường dẫn để chạy các chương trình nhị phân mức hệ thống. Điều này cho phép người quản trị CouchDB thực hiện các lệnh shell tùy ý như người dùng, bao gồm tải và thực hiện các kịch bản từ Internet. Các lỗ hổng đã được vá lỗi trong các phiên bản 2.1.1 và 1.7.0/1.7.1.
(lược dịch)
11:00 | 05/12/2017
08:00 | 11/09/2020
16:00 | 16/12/2021
13:00 | 10/05/2024
Google đã trả cho Apple số tiền lên tới 20 tỷ USD vào năm 2022 để tiếp tục trở thành công cụ tìm kiếm mặc định trên iPhone, iPad và Mac.
10:00 | 07/05/2024
Intel sẽ phát hành hai chip AI công suất thấp dành cho thị trường Trung Quốc, nhằm tuân thủ các lệnh trừng phạt và kiểm soát xuất khẩu của Hoa Kỳ.
21:00 | 01/04/2024
Trong tháng 3, ông Won-Kyun Cho, Giám đốc quốc gia của Fortinet Hàn Quốc đại diện cho Fortinet - một trong những công ty hàng đầu thế giới về kiến tạo và thúc đẩy sự hội tụ của mạng và bảo mật và CEO Sung-An Choi, đại diện cho Samsung Heavy Industries - công ty hàng đầu thế giới trong ngành đóng tàu, mới đây đã thông báo hai bên chính thức ký kết Biên bản ghi nhớ đánh dấu hợp tác trong lĩnh vực an ninh mạng hàng hải.
20:00 | 27/10/2023
Trong bối cảnh cuộc cách mạng 4.0 đang tiến triển mạnh mẽ, chuyển đổi số và tự động hoá trở thành các yếu tố không thể thiếu trong mọi lĩnh vực, đặc biệt là an ninh mạng. Hiểu rõ tầm quan trọng này, hai hãng công nghệ Stellar Cyber và Cyfirma đã hợp tác với Nessar – nhà phân phối chính thức tại Việt Nam tổ chức sự kiện hội thảo chuyên sâu nhằm giới thiệu nền tảng giám sát, phản ứng và thông tin tình báo về mối đe dọa an toàn thông tin (ATTT) với tính tự động hóa hơn 90%, nhằm tối ưu hóa bảo vệ dữ liệu và hệ thống khỏi các mối đe dọa phức tạp.
Các hãng tin Bloomberg và Information đưa tin OpenAI đang có kế hoạch công bố một công cụ tìm kiếm “siêu mạnh” dựa trên trí tuệ nhân tạo (AI) với tham vọng có thể lật đổ “đế chế” Google trong lĩnh vực tìm kiếm.
10:00 | 16/05/2024