xuejiazhi 2010-08-20
Apache CouchDB跨站请求伪造漏洞
发布日期:2010-08-17
更新日期:2010-08-18
受影响系统:
Apache Group CouchDB 0.8.0 - 0.11.0
不受影响系统:
Apache Group CouchDB 1.0.1
Apache Group CouchDB 0.11.2
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 42501
CVE(CAN) ID: CVE-2010-2234
CouchDB是用Erlang开发的面向文档的数据库系统。
恶意的站点可能向CouchDB的安装URL(如http://localhost:5984/ )POST任意JavaScript,导致浏览器以CouchDB的Futon管理界面安全环境执行所注入的JavaScript。
<*来源:Jan Lehnardt
链接:http://marc.info/?l=bugtraq&m=128206228308310&w=2
http://secunia.com/advisories/40998/
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: