Apache CouchDB lukker alvorlige huller

Udviklerne af databasen CouchDB har lukket to alvorlige sikkerhedshuller.

Ved at udnytte to sårbarheder i Apache CouchDB kan angribere få administratorprivilegier. Den ene sårbarhed giver også mulighed for at afvikle kommandoer.

CouchDB er en database, der ikke er en relationsdatabase. Den opbevarer data i form af nøgle-værdi-par.

Den ene sårbarhed skyldes, at databasens interne parser og en Javascript-baseret parser ikke behandler data på samme måde.

Fejlene er rettet i CouchDB version 2.1.1 og 1.7.0/1.7.1.

Anbefaling

Opdater til en rettet version.

Links