NoSQL veritabanı yazılımı MongoDB'deki güvenlik ekibi Cuma günü ciddi bir güvenlik kusurunu belgeledi: “Sunucunun zlib uygulamasından istemci tarafında yararlanılması, sunucuda kimlik doğrulama gerektirmeden başlatılmamış yığın belleği döndürebilir. Mümkün olan en kısa sürede sabit bir sürüme güncelleme yapmanızı önemle öneririz.”
Reklamdan sonra devamını okuyun
Saldırganlar, parolalar, anahtarlar veya diğer hassas veriler gibi eski verileri hâlâ içerebilen sıfırlanmamış yığın belleğine erişmek için zlib sıkıştırma yazılımındaki bir kusurdan yararlanabilir. Saldırganın veritabanına erişim verilerine ihtiyacı yoktur. BleepingComputer'a göre bunun için kullanıcı etkileşimi gerekli değil.
Güvenlik açığı aşağıdaki MongoBB sunucu sürümlerini etkiler:
MongoDB 8.2.0 – 8.2.3
MongoDB 8.0.0 – 8.0.16
MongoDB 7.0.0 – 7.0.26
MongoDB 6.0.0 – 6.0.26
MongoDB 5.0.0 – 5.0.31
MongoDB 4.4.0 – 4.4.29
Herkes gibi
MongoDB Sunucusu v4.2 sürümleri
MongoDB Sunucusu v4.0 sürümleri
MongoDB Sunucusu v3.6 sürümleri
Bunların MongoDB 8.2.3, 8.017, 7.0.28, 6.0.27, 5.0.32 veya 4.4.30'a yükseltilmesi gerekir.
CVE-2025-14847 kapsamında yayınlanan güvenlik açığı kritik kabul ediliyor ve CVSS puanı 8,7.
Yamalı sürümlerden birine hemen yükseltme yapamıyorsanız MongoDB sunucusunda zlib sıkıştırmasını devre dışı bırakmalısınız. MongoDB uyarısına göre bu şu şekilde yapılabilir: mongod veya mongos biriyle networkMessageCompressors – veya net.compression.compressors zlib'i açıkça hariç tutan seçenek başlatılıyor.
Reklamdan sonra devamını okuyun
MongoDB dünya çapında 62.000'den fazla müşteri tarafından kullanılmaktadır. Veritabanı yönetim sistemi, verileri MySQL veya PostgreSQL gibi klasik ilişkisel SQL veritabanları gibi tablolar yerine BSON belgelerine (İkili JSON) kaydeder.
(kst)
Bir yanıt yazın