背景介绍
建议大家在看本文之前先去回顾一下我之前发表过的一篇关于CouchDB的文章,其中简单介绍了一些关于CouchDB的基本信息和本次所发布的CouchDB RCE(CVE-2017-12636)漏洞。是的,关于这个RCE并不是CouchDB的一个新问题,只是在此次这个特权提升漏洞出来的同时才给了RCE漏洞CVE号,因为之前RCE只有在CouchDB管理员密码泄露或未授权访问时才能进行,本文将着重分析特权提升(CVE-2017-12635)漏洞。
影响版本
before 1.7.0 and 2.x before 2.1.1
漏洞分析
CouchDB是使用Erlang开发的面向文档的数据库系统,其Json解析器使用了jiffy第三方库,他和javascript在解析Json上存在一些差异,我们看下面这个例子
Erlang:
Javascript:
我们可以看到这两个解析器对于存在重复键的Json数据的解析结果有着很大的差异。对于给定的键,Javascript只存储了最后一个值,而Erlang却存储了所有的值。但是在CouchDB中get_value函数只返回了jiffy所解析到了第一个键的值。
对于这样的差异性就会产生很大的安全风险,接着看一下CouchDB中是如何进行用户身份鉴权的
其中可以看到关于roles中定义了普通用户是无法设置管理员角色roles
的,但管理员可以任意定义其他用户,我们再来看以下这段包含文件代码
这里的权限判断很简单,只要roles长度大于0就返回forbidden,只有管理员才能进行修改,言外之意就是只要roles为空,就可以自己设置自己的信息,这和以上对users的权限定义一致,也和正常的member用户注册逻辑一致
但是结合之前Erlang和Javascript对重复键Json解析的差异性,我们就可以构造roles重复键使得javascript解析阶段roles为空来绕过上述鉴权,并在导入document,Erlang进行解析时roles为_admin
来创建管理员用户达到特权提升的目的,POC如下
如此我们就完成了特权提升攻击而获得了一个管理员账号,此时就可以进行远程命令执行攻击了,关于这一部分大家可以看我之前的文章。
漏洞防御
升级CouchDB至最新版
可以通过以下两条命令查看是否已经被攻击
代码语言:javascript复制curl -s 'admin:password@127.0.0.1:5984/_users/_all_docs?include_docs=true' | grep -E '"roles". "roles"'
curl -s 'admin:password@127.0.0.1:5984/_users/_all_docs?include_docs=true' | grep -E '"_replication_state". "_replication_state"'
参考
Apache CouchDB CVE-2017-12635 and CVE-2017-12636----