CVE-2017-12635 Apache CouchDB 特权提升漏洞分析

背景介绍

建议大家在看本文之前先去回顾一下我之前发表过的一篇关于CouchDB的文章，其中简单介绍了一些关于CouchDB的基本信息和本次所发布的CouchDB RCE( CVE-2017-12636 )漏洞。是的，关于这个RCE并不是CouchDB的一个新问题，只是在此次这个特权提升漏洞出来的同时才给了RCE漏洞CVE号，因为之前RCE只有在CouchDB管理员密码泄露或未授权访问时才能进行，本文将着重分析特权提升( CVE-2017-12635 )漏洞。

影响版本

before 1.7.0 and 2.x before 2.1.1

漏洞分析

CouchDB是使用Erlang开发的面向文档的数据库系统，其Json解析器使用了 jiffy第三方库 ，他和javascript在解析Json上存在一些差异，我们看下面这个例子

Erlang:

Javascript:

我们可以看到这两个解析器对于存在重复键的Json数据的解析结果有着很大的差异。对于给定的键，Javascript只存储了最后一个值，而Erlang却存储了所有的值。但是在CouchDB中get_value函数只返回了jiffy所解析到了第一个键的值。

对于这样的差异性就会产生很大的安全风险，接着看一下CouchDB中是如何进行用户身份鉴权的

其中可以看到关于roles中定义了普通用户是无法设置管理员角色 roles 的，但管理员可以任意定义其他用户，我们再来看以下这段包含文件代码

这里的权限判断很简单，只要roles长度大于0就返回forbidden，只有管理员才能进行修改，言外之意就是只要roles为空，就可以自己设置自己的信息，这和以上对users的权限定义一致，也和正常的member用户注册逻辑一致

但是结合之前Erlang和Javascript对重复键Json解析的差异性，我们就可以构造roles重复键使得javascript解析阶段roles为空来绕过上述鉴权，并在导入document，Erlang进行解析时roles为 _admin 来创建管理员用户达到特权提升的目的，POC如下

如此我们就完成了特权提升攻击而获得了一个管理员账号，此时就可以进行远程命令执行攻击了，关于这一部分大家可以看我之前的文章。

漏洞防御

升级CouchDB至最新版

可以通过以下两条命令查看是否已经被攻击

curl -s 'admin:password@127.0.0.1:5984/_users/_all_docs?include_docs=true' | grep -E '"roles".+"roles"'
curl -s 'admin:password@127.0.0.1:5984/_users/_all_docs?include_docs=true' | grep -E '"_replication_state".+"_replication_state"'

参考

Apache CouchDB CVE-2017-12635 and CVE-2017-12636