美国和澳大年夜利亚的收集安然机构警告称,MongoDB 和 MongoDB Server 中存在一个关键马脚正被积极应用,对运行裸露数据库基本举措措施的组织构成威逼。
该马脚编号为 CVE-2025-14847,被称为“MongoBleed”,美国收集安然和基本举措措施安然局 (CISA) 将其描述为长度参数不一致处理欠妥马脚。CISA 已发出警告,请求所有联邦平易近事机构在 1 月 19 日前应用补丁法度榜样。澳大年夜利亚旌旗灯号局也发出类似警告,称已发明该马脚在全球范围内被积极应用。
MangoBleed 马脚源于 MongoDB 办事器处理 zlib 紧缩收集消息的方法。MongoDB 解紧缩逻辑中的一个缺点可能导致数据库在身份验证完成之前向长途客户端返回未初始化的堆内存。
该马脚许可未经身份验证的进击者经由过程收集拜访 MongoDB 端口来反复探测办事器并聚合泄漏的内存碎片,从而可能裸露凭证、会话密钥、内部状况和其他敏感数据。
据收集安然公司 Tenable Holdings Inc.称,概念验证马脚应用代码于12月25日在GitHub上公开宣布。几天之内,安然研究人员就检测到了针对这些易受进击实例的主动化扫描和进击测验测验。分析注解,数万个MongoDB安排仍然可以经由过程互联网拜访,轻易受到进击,个中很多安排启用了zlib紧缩,而zlib紧缩是一种常见的默认设备。
无论补丁状况若何,他都建议不要将 MongoDB 裸露在互联网上,并应经由过程防火墙或类似控制办法限制拜访。他还弥补道:“应尽快应用补丁,以避免内部人员应用该马脚。”
云端马脚扫描公司 Intruder Systems Ltd.的安然主管 Dan Andrew经由过程电子邮件告诉 SiliconANGLE,“这是一个严重的马脚,它许可未经身份验证的长途进击者从 MongoDB 的内存中检索信息。概念验证已向"大众,"开放。”
此次安然马脚的影响范围十分广泛。扫描办事已在全球范围内辨认出约 87,000 个可能存在马脚的 MongoDB 实例,云安然遥测数据显示,很大年夜一部分云情况至少托管着一个受影响的数据库。
MongoDB 已宣布补丁法度榜样修复所有受支撑版本中的此马脚,并催促安然人员急速进级。假如组织无法急速进行补丁更新,建议的缓解办法包含禁用 zlib 紧缩并将收集拜访限制在受信赖的主机上。
“与其他堆内存泄漏马脚(例如 Heartbleed)类似,此次马脚应用的影响取决于进击者可以或许从堆内存中获取的信息,”Andrew 说。“然而,泄漏的内存很可能包含凭证或其他敏感信息,尤其是在进击者对马脚懂得得越多、应用得越有效的情况下。”
发表评论 取消回复