Комментарии 5
выпустила релиз 3.2.2
Беру свои слова обратно.
Без вашей публикации, вероятно, это произошло бы позже, первый движ по выкатыванию начался через полтора часа после публикации. +++ release/couchdb/source/3.2.2/apache-couchdb-3.2.2.tar.gz.asc Mon Apr 18 05:02:35 2022
Спасибо.
Команда безопасности CouchDB обещала исправить инсталлер в будущих релизах, не особо заботясь о текущих инсталляциях.
Это не проблема "инсталлера" как Вы сказали, это проблема, связанная с тем, что многие не столь внимательно знакомятся с документацией, в которой, как Вы сказали, подсвечена WARNING'ом (!!) Информация о том, как этот кластер защищен.
Т.е сказать что это реальная критическая уязвимость - это тоже самое, что и сказать о том, что дефолтные креды к тому же заббиксу - ужасное упущение.
Только вот, повторюсь - нужно внимательно читать документацию перед эксплуатацией продуктов, особенно тех, что используют под капотом целый кластер.
Можно сколько угодно оправдывать команду CouchDB и винить во всем ленивых админов, не желающих перечитывать весть мануал, но это критическая уязвимость. Не верите мне, посмотрите официальный гайд - https://docs.couchdb.org/en/3.2.2/cve/2022-24706.html
Открою Вам маленький секрет - не все, что имеет свою CVE, по настоящему считается уязвимостью.
Если не верите, подумайте о CVE, которая говорит о том, что контекст запроса PostgreSQL вида `copy * from <command>` - это уязвимость.
Плюс ко всему, я навел справки. К примеру - в документации к RabbitMQ говорится о том, что `erlang cookie` генерируется случайным образом. В документации к продукту, о котором говорится в статье, об этом ни слова.
В общем - непонятно к чему написана статья. Интересного чейна тут нет, это самая базовая "недоcve", которая не должна быть принята в качестве серьезной уязвимости, ИМХО.
А если и должна - welcome регистрировать подобное поведение в остальных продуктах. К примеру в Zabbix, RabbitMQ, Grafana. Только вот проблема заключается в том, что ни 1 адекватный вендор не скажет вам, что это уязвимость, так как уязвимость, в первую очередь - это нестандартное поведение, баг или существенная, недокументированная недоработка. Тут же - все документировано.
С таким же успехом можно начать конфигурировать кластер k8s без использования лучших практик и потом жаловаться и кидать репорты о том, что инфраструктуру разнесли и все секреты вычитали.
CouchDB, Erlang и печеньки — RCE на дефолтных настройках