Как стать автором
Обновить

Комментарии 5

выпустила релиз 3.2.2

Беру свои слова обратно.

Без вашей публикации, вероятно, это произошло бы позже, первый движ по выкатыванию начался через полтора часа после публикации. +++ release/couchdb/source/3.2.2/apache-couchdb-3.2.2.tar.gz.asc Mon Apr 18 05:02:35 2022

Спасибо.

Возможно. Вот уже и идентификатор присвоили, правда лавры другому человеку отдали. Либо Ян был настолько зол на меня, либо кто-то сообщил о проблема раньше. Бывет...

https://docs.couchdb.org/en/stable/cve/2022-24706.html

Команда безопасности CouchDB обещала исправить инсталлер в будущих релизах, не особо заботясь о текущих инсталляциях.

Это не проблема "инсталлера" как Вы сказали, это проблема, связанная с тем, что многие не столь внимательно знакомятся с документацией, в которой, как Вы сказали, подсвечена WARNING'ом (!!) Информация о том, как этот кластер защищен.

Т.е сказать что это реальная критическая уязвимость - это тоже самое, что и сказать о том, что дефолтные креды к тому же заббиксу - ужасное упущение.

Только вот, повторюсь - нужно внимательно читать документацию перед эксплуатацией продуктов, особенно тех, что используют под капотом целый кластер.

Можно сколько угодно оправдывать команду CouchDB и винить во всем ленивых админов, не желающих перечитывать весть мануал, но это критическая уязвимость. Не верите мне, посмотрите официальный гайд - https://docs.couchdb.org/en/3.2.2/cve/2022-24706.html

Открою Вам маленький секрет - не все, что имеет свою CVE, по настоящему считается уязвимостью.

Если не верите, подумайте о CVE, которая говорит о том, что контекст запроса PostgreSQL вида `copy * from <command>` - это уязвимость.

Плюс ко всему, я навел справки. К примеру - в документации к RabbitMQ говорится о том, что `erlang cookie` генерируется случайным образом. В документации к продукту, о котором говорится в статье, об этом ни слова.

В общем - непонятно к чему написана статья. Интересного чейна тут нет, это самая базовая "недоcve", которая не должна быть принята в качестве серьезной уязвимости, ИМХО.

А если и должна - welcome регистрировать подобное поведение в остальных продуктах. К примеру в Zabbix, RabbitMQ, Grafana. Только вот проблема заключается в том, что ни 1 адекватный вендор не скажет вам, что это уязвимость, так как уязвимость, в первую очередь - это нестандартное поведение, баг или существенная, недокументированная недоработка. Тут же - все документировано.

С таким же успехом можно начать конфигурировать кластер k8s без использования лучших практик и потом жаловаться и кидать репорты о том, что инфраструктуру разнесли и все секреты вычитали.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Истории