Apache CouchDB消息Digest验证定时攻击漏洞

文章由LinuxBoy分享于2019-04-02 11:04:51热评（502）

Apache CouchDB消息Digest验证定时攻击漏洞

发布日期：2010-03-31
更新日期：2010-04-01

受影响系统：
Apache Group CouchDB 0.8.0 - 0.10.1
不受影响系统：
Apache Group CouchDB 0.11.0
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 39116
CVE ID: CVE-2010-0009

CouchDB是用Erlang开发的面向文档的数据库系统。

CouchDB在验证哈希和口令时使用的算法执行时间是可预测的，攻击者可以通过暴力猜测攻击破解算法读取敏感数据。

<*来源：Jason Davies （jan@apache.org）

链接：http://secunia.com/advisories/39146/
http://marc.info/?l=bugtraq&m=127006993230491&w=2
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://wiki.apache.org/couchdb/Breaking_changes

推荐文章：

Apache CouchDB消息Digest验证定时攻击漏洞