NoSQL veri tabanı yazılımı MongoDB'nin güvenlik ekibi Cuma günü ciddi bir güvenlik kusurunu belgeledi: “Sunucunun zlib uygulamasından istemci tarafında yararlanılması, sunucuda kimlik doğrulama gerektirmeden başlatılmamış yığın belleği döndürebilir. Mümkün olan en kısa sürede yamalı bir sürüme yükseltme yapmanızı önemle öneririz.”
Duyurudan sonra devamını okuyun
Saldırganlar, zlib sıkıştırma yazılımındaki bir kusurdan yararlanarak, hâlâ şifreler, anahtarlar veya diğer hassas veriler gibi eski verileri içerebilen, depolanmamış yığın belleğine erişebilir. Saldırganın veritabanı oturum açma bilgilerine ihtiyacı yoktur. BleepingComputer'a göre bunun için kullanıcı etkileşimi gerekli değil.
Güvenlik açığı MongoBB sunucusunun aşağıdaki sürümlerini etkiliyor:
MongoDB 8.2.0 – 8.2.3
MongoDB 8.0.0 – 8.0.16
MongoDB 7.0.0 – 7.0.26
MongoDB 6.0.0 – 6.0.26
MongoDB 5.0.0 – 5.0.31
MongoDB 4.4.0 – 4.4.29
Tıpkı herkes gibi
MongoDB Sunucusu v4.2 sürümleri
MongoDB Sunucusu v4.0 sürümleri
MongoDB Sunucusu v3.6 sürümleri
Bunların MongoDB 8.2.3, 8.017, 7.0.28, 6.0.27, 5.0.32 veya 4.4.30'a güncellenmesi gerekir.
CVE-2025-14847 olarak yayınlanan güvenlik açığı kritik kabul ediliyor ve CVSS puanı 8,7.
Yamalı sürümlerden birine hemen yükseltme yapamıyorsanız MongoDB sunucusunda zlib sıkıştırmasını devre dışı bırakmalısınız. MongoDB'nin uyarısına göre bu yapılabilir: ” mongod VEYA mongos biriyle networkMessageCompressors -O net.compression.compressors zlib'i açıkça hariç tutan bir seçenek başlatıldı.
Duyurudan sonra devamını okuyun
MongoDB dünya çapında 62.000'den fazla müşteri tarafından kullanılmaktadır. Veritabanı yönetim sistemi, verileri MySQL veya PostgreSQL gibi klasik SQL ilişkisel veritabanları gibi tablolar yerine BSON (İkili JSON) belgelerine kaydeder.
(kst)
Bir yanıt yazın