前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >CVE-2017-12635 Apache CouchDB 特权提升漏洞分析

CVE-2017-12635 Apache CouchDB 特权提升漏洞分析

作者头像
风流
发布2018-06-07 14:00:15
1.9K0
发布2018-06-07 14:00:15
举报
文章被收录于专栏:Urahara Blog

背景介绍

建议大家在看本文之前先去回顾一下我之前发表过的一篇关于CouchDB的文章,其中简单介绍了一些关于CouchDB的基本信息和本次所发布的CouchDB RCE(CVE-2017-12636)漏洞。是的,关于这个RCE并不是CouchDB的一个新问题,只是在此次这个特权提升漏洞出来的同时才给了RCE漏洞CVE号,因为之前RCE只有在CouchDB管理员密码泄露或未授权访问时才能进行,本文将着重分析特权提升(CVE-2017-12635)漏洞。

影响版本

before 1.7.0 and 2.x before 2.1.1

漏洞分析

CouchDB是使用Erlang开发的面向文档的数据库系统,其Json解析器使用了jiffy第三方库,他和javascript在解析Json上存在一些差异,我们看下面这个例子

Erlang:

Javascript:

我们可以看到这两个解析器对于存在重复键的Json数据的解析结果有着很大的差异。对于给定的键,Javascript只存储了最后一个值,而Erlang却存储了所有的值。但是在CouchDB中get_value函数只返回了jiffy所解析到了第一个键的值。

对于这样的差异性就会产生很大的安全风险,接着看一下CouchDB中是如何进行用户身份鉴权的

其中可以看到关于roles中定义了普通用户是无法设置管理员角色roles的,但管理员可以任意定义其他用户,我们再来看以下这段包含文件代码

这里的权限判断很简单,只要roles长度大于0就返回forbidden,只有管理员才能进行修改,言外之意就是只要roles为空,就可以自己设置自己的信息,这和以上对users的权限定义一致,也和正常的member用户注册逻辑一致

但是结合之前Erlang和Javascript对重复键Json解析的差异性,我们就可以构造roles重复键使得javascript解析阶段roles为空来绕过上述鉴权,并在导入document,Erlang进行解析时roles为_admin来创建管理员用户达到特权提升的目的,POC如下

如此我们就完成了特权提升攻击而获得了一个管理员账号,此时就可以进行远程命令执行攻击了,关于这一部分大家可以看我之前的文章

漏洞防御

升级CouchDB至最新版

可以通过以下两条命令查看是否已经被攻击

代码语言:javascript
复制
curl -s 'admin:password@127.0.0.1:5984/_users/_all_docs?include_docs=true' | grep -E '"roles".+"roles"'
curl -s 'admin:password@127.0.0.1:5984/_users/_all_docs?include_docs=true' | grep -E '"_replication_state".+"_replication_state"'

参考

Apache CouchDB CVE-2017-12635 and CVE-2017-12636----

本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 背景介绍
  • 影响版本
  • 漏洞分析
  • 漏洞防御
    • 参考
    领券
    问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档