← All posts tagged security

Kxepal
CouchDB fail nodejs security Security Alert — Please reset your npm registry account
gist.github.com

Да, очень поздно они закрыли публичный доступ к _users, хотя не понятно, чем занимались админы npm т.к. поведение известное уже много релизов как и первый же security audit выявил бы эту проблему. Anyway, хорошо что исправились и дали проблеме огласку — в 1.2.0 проблему закрыли из коробки, правда релиз пока задерживается из-за двух багов, один из которых сулит хорошую прибавку к скорости индексации. Тем временем, чтобы не проверять свои сервера ручками, уже есть две тулзы для автоматизации процесса:
1. nodejs: github.com
2. python: code.google.com
Обе помогут провести анализа всего сервера или конкретной базы, определить что находится в паблике, а куда вход разрешен только специальным пользователям, сколько админов на сервере и не много ли их и т.п.

Такие дела. Берегите данные своих пользователей(:
Kxepal
CouchDB уязвимость security а еще поводом обновиться послужит XSS уязвимость всех версий от доисторической 0.8 до 1.0.1
apacheserver.net
конечно, она не актуальна если у вас веб-интерфейс не смотрит наружу и вы пользуетесь нормальным тулкитом для работы с couchdb, но факт есть факт.