NoSQL veritabanı yazılımı MongoDB'deki güvenlik ekibinin ciddi bir güvenlik açığını kabul etmesinden yalnızca birkaç gün sonra ve dünyanın büyük bir kısmı tatilin tadını çıkarırken, saldırıları daha da kolaylaştıran ayrıntılar ve bir açıktan yararlanma yöntemi yayınlandı. Yazılım şirketi Elastic'in baş teknoloji sorumlusu, istismara “MongoBleed” adını verdi ve Github'da yayınladı. İlk raporlara göre, ihtiyacınız olan tek şey bir MongoDB örneğinin IP adresidir ve düz metin olarak iletilen depolama alanından çeşitli içerikleri alabilirsiniz. Güvenlik uzmanı Kevin Beaumont, kullanımı çok kolay olduğundan ve MongoDB'nin son derece popüler olduğundan, bu güvenlik açığından hızla geniş çapta yararlanılmasının muhtemel olduğunu yazıyor.
Duyurudan sonra devamını okuyun
Noel'den hemen önce yayınlanan güvenlik açığı ayrıntılarına göre saldırganlar, depolanmamış dinamik yığın belleğine erişmek için zlib sıkıştırma yazılımındaki bir kusurdan yararlanabilir. Şifreler, anahtarlar veya diğer hassas bilgiler gibi eski veriler hâlâ mevcut olabilir. Hiçbir giriş bilgisinin veya kullanıcı etkileşiminin gerekli olmadığı zaten söylendi. Şu anda mevcut olan istismar bunu kanıtlıyor. Bu, MongoDB bulut sunucularının yöneticilerinden bunları yükseltmelerinin istenmesinin aciliyetini vurgulamaktadır.
Çok sayıda sürüm etkilendi, güncellemeler mevcut
Güvenlik açığı aşağıdaki MongoDB sunucu sürümlerini etkiler:
MongoDB 8.2.0 – 8.2.3
MongoDB 8.0.0 – 8.0.16
MongoDB 7.0.0 – 7.0.26
MongoDB 6.0.0 – 6.0.26
MongoDB 5.0.0 – 5.0.31
MongoDB 4.4.0 – 4.4.29
Tıpkı herkes gibi
MongoDB Sunucusu v4.2 sürümleri
MongoDB Sunucusu v4.0 sürümleri
MongoDB Sunucusu v3.6 sürümleri
Bunların MongoDB 8.2.3, 8.017, 7.0.28, 6.0.27, 5.0.32 veya 4.4.30'a güncellenmesi gerekir.
Duyurudan sonra devamını okuyun
CVE-2025-14847 olarak yayınlanan güvenlik açığı kritik kabul ediliyor ve CVSS puanı 8,7. Yamalı sürümlerden birine hemen yükseltme yapamıyorsanız MongoDB sunucusunda zlib sıkıştırmasını devre dışı bırakmalısınız. MongoDB'nin uyarısına göre bu yapılabilir: ” mongod VEYA mongos biriyle networkMessageCompressors-O net.compression.compressorszlib'i açıkça hariç tutan bir seçenek başlatıldı.
MongoDB dünya çapında 62.000'den fazla müşteri tarafından kullanılıyor ve internette 20.000'den fazlası Almanya'da olmak üzere 200.000'den fazla örnek bulunabilir. Veritabanı yönetim sistemi, verileri MySQL veya PostgreSQL gibi klasik SQL ilişkisel veritabanları gibi tablolar yerine BSON (İkili JSON) belgelerine kaydeder.
(mho)
Bir yanıt yazın