漏洞信息详情
Apache CouchDB MochiWeb 目录遍历漏洞
- CNNVD编号:CNNVD-201301-266
- 危害等级: 中危
- CVE编号: CVE-2012-5641
- 漏洞类型: 路径遍历
- 发布时间: 2013-01-17
- 威胁类型: 远程
- 更新时间: 2014-03-20
- 厂 商: apache
- 漏洞来源:
漏洞简介
MochiWeb是美国软件开发者Bob Ippolito所研发的一个用于创建轻量级Http服务器的Erlang库。
Apache CouchDB中使用的MochiWeb 2.3.2及之前版本中的mochiweb_util.erl文件中的‘partition2’函数存在目录便漏洞。远程攻击者可借助默认URI中的‘..\’利用该漏洞读取任意文件。以下版本受到影响:Apache CouchDB 1.0.3及之前版本,1.1.0,1.1.1,1.2.0。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://github.com/melkote/mochiweb/commit/ac2bf
参考网址
来源: github.com
链接:https://github.com/mochi/mochiweb/issues/92
来源: github.com
链接:https://github.com/melkote/mochiweb/commit/ac2bf
来源: XF
名称: apache-couchdb-dir-traversal(81240)
链接:http://xforce.iss.net/xforce/xfdb/81240
来源: BID
名称: 57313
链接:http://www.securityfocus.com/bid/57313
来源: FULLDISC
名称: 20130114 CVE-2012-5641 Apache CouchDB Information disclosure via unescaped backslashes in URLs on Windows
链接:http://seclists.org/fulldisclosure/2013/Jan/81
来源:SECUNIA
名称:51765
链接:http://secunia.com/advisories/51765
受影响实体
- Apache Couchdb:1.1.0
- Apache Couchdb:1.1.1
- Apache Couchdb:1.2.0
- Apache Couchdb:1.0.3
- Apache Couchdb:1.0.2
补丁
- couchdb-1.0.4
- couchdb-1.2.1
- couchdb-1.0.4
- couchdb-1.2.1
- couchdb-1.1.2
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论