Apache CouchDB là một phiên bản khác của NoSQL. CouchDB được tạo ra vào năm 2005 bởi IBM Lotus Notes, lưu trữ dữ liệu dạng JSON và dùng Javascript như các câu truy vấn để lấy dữ liệu. Đây là một hệ quản trị cơ sở dữ liệu mã nguồn mở định hướng tài liệu (document-oriented), xếp thứ 28 trong hơn 300 hệ thống phổ biến nhất theo DB-Engines.
Nhà nghiên cứu Max Justicz đã phát hiện ra một lỗ hổng trong CouchDB khi tìm kiếm các lỗi trên máy chủ chịu trách nhiệm phân phối các gói npm tại địa chỉ registry.npmjs.org. Lỗ hổng này được định danh CVE-2017-12635, cho phép kẻ tấn công có thể khai thác, chiếm quyền quản trị và thực thi mã tùy ý.
Trong thông tin khuyến cáo tới người dùng, nhà phát triển CouchDB cho biết: “Do sự khác biệt giữa JSON parser dựa trên Erlang của CouchDB và JSON parser dựa trên JavaScript, có thể đưa vào các tài liệu _users bằng các phím trùng lặp cho các vai trò được sử dụng để kiểm soát truy cập trong cơ sở dữ liệu, kể cả trường hợp đặc biệt có vai trò _admin chỉ ra người dùng có quyền quản trị”.
Trong trường hợp của registry npm, việc khai thác lỗi có thể cho phép kẻ tấn công sửa đổi các gói phục vụ người dùng.
Bên cạnh đó, khi phân tích CVE-2017-12635, một thành viên nhóm bảo mật CouchDB đã phát hiện thêm lỗ hổng CVE-2017-12636, cho phép khai thác khi kết hợp với lỗ hổng leo thang đặc quyền để thực thi các lệnh shell tùy ý trên máy chủ.
Quản trị viên của CouchDB có thể cấu hình máy chủ cơ sở dữ liệu thông qua giao thức HTTP/HTTPS. Một số tùy chọn cấu hình bao gồm các đường dẫn để chạy các chương trình nhị phân mức hệ thống. Điều này cho phép người quản trị CouchDB thực hiện các lệnh shell tùy ý như người dùng, bao gồm tải và thực hiện các kịch bản từ Internet. Các lỗ hổng đã được vá lỗi trong các phiên bản 2.1.1 và 1.7.0/1.7.1.
(lược dịch)
11:00 | 05/12/2017
08:00 | 11/09/2020
16:00 | 16/12/2021
13:00 | 12/06/2024
Một lỗ hổng nghiêm trọng cross-site scripting (XSS) định danh CVE-2024-4835 trong trình soạn thảo mã trực tuyến (Web IDE) của GitLab cho phép kẻ tấn công chiếm quyền kiểm soát tài khoản người dùng mà không cần xác thực.
09:00 | 10/06/2024
Ngày 4/6 vừa qua, Cisco thông báo về bản bảo mật mới sau khi giới truyền thông đưa tin rằng các cuộc họp sử dụng Webex của chính phủ Đức đã bị lộ, có khả năng cho phép đối tượng xấu có được các thông tin nhạy cảm.
09:00 | 21/05/2024
Ngày 14/5, OpenAI đã ra mắt phiên bản hoạt động tốt hơn và hiệu quả hơn của công nghệ trí tuệ nhân tạo (AI) nền tảng cho công cụ nổi tiếng của công ty này là ChatGPT. Mô hình AI mới có tên GPT-4o, có khả năng trò chuyện bằng giọng nói thực tế và có thể tương tác qua văn bản và hình ảnh. Đây là động thái mới nhất của Open AI nhằm khẳng định vị thế dẫn đầu trong cuộc đua thống trị công nghệ mới nổi.
09:00 | 04/05/2024
Trung tuần tháng 4, nhiều người dùng iPhone tại Việt Nam gặp tình trạng thiết bị yêu cầu xác thực tài khoản Apple ID lạ, gây tâm lý hoang mang. Trên các nhóm trao đổi kiến thức sử dụng đồ công nghệ, vấn đề nhanh chóng trở thành chủ đề “nóng”, nghi ngờ về một cuộc tấn công mạng nhắm vào người dùng iPhone nên nhận được nhiều bình luận.
Theo hãng nghiên cứu Unique Capital (Trung Quốc), hai phần mềm CapCut và Doubao của ByteDance đã dẫn đầu lượt tải ứng dụng trí tuệ nhân tạo toàn cầu. Đây là dấu hiệu cho thấy nỗ lực thúc đẩy AI tạo sinh (GenAI) của chủ sở hữu TikTok bắt đầu có kết quả.
08:00 | 26/08/2024