Mastodon
Connect with us

Hacking

Σοβαρή ευπάθεια στο MongoDB επιτρέπει ανάγνωση μη αρχικοποιημένης μνήμης

Hacking

Κρίσιμη ευπάθεια στο SmarterMail επιτρέπει απομακρυσμένη εκτέλεση κώδικα

Hacking

Η εκστρατεία DNS Poisoning της Evasive Panda και το κακόβουλο λογισμικό MgBot

Hacking

Σοβαρή ευπάθεια στο MongoDB επιτρέπει ανάγνωση μη αρχικοποιημένης μνήμης

Σοβαρή ευπάθεια στο MongoDB επιτρέπει ανάγνωση μη αρχικοποιημένης μνήμης heap. Συστάσεις για αναβάθμιση και προστασία.

Published

3 days ago

on

New MongoDB Flaw Lets Unauthenticated Attackers Read Uninitialized Memory

Περιεχόμενα
Ανακάλυψη της ευπάθειας
Επιπτώσεις και επηρεαζόμενες εκδόσεις
Συστάσεις και εναλλακτικές λύσεις
Πιθανές συνέπειες της ευπάθειας
Τι σημαίνει για τους χρήστες

Ανακάλυψη της ευπάθειας

Μια σοβαρή ευπάθεια ασφαλείας έχει αποκαλυφθεί στο MongoDB, η οποία θα μπορούσε να επιτρέψει σε μη αυθεντικοποιημένους χρήστες να διαβάσουν μη αρχικοποιημένη μνήμη heap. Η ευπάθεια αυτή, που παρακολουθείται ως CVE-2025-14847 με βαθμολογία CVSS 8.7, περιγράφεται ως περίπτωση ακατάλληλου χειρισμού ασυμφωνίας στις παραμέτρους μήκους. Αυτό συμβαίνει όταν ένα πρόγραμμα αποτυγχάνει να διαχειριστεί σωστά σενάρια όπου το πεδίο μήκους δεν είναι συνεπές με το πραγματικό μήκος των δεδομένων που σχετίζονται με αυτό.

Επιπτώσεις και επηρεαζόμενες εκδόσεις

Η ευπάθεια αυτή επηρεάζει διάφορες εκδόσεις της βάσης δεδομένων, όπως:

  • MongoDB 8.2.0 έως 8.2.3
  • MongoDB 8.0.0 έως 8.0.16
  • MongoDB 7.0.0 έως 7.0.26
  • MongoDB 6.0.0 έως 6.0.26
  • MongoDB 5.0.0 έως 5.0.31
  • MongoDB 4.4.0 έως 4.4.29
  • Όλες οι εκδόσεις του MongoDB Server v4.2
  • Όλες οι εκδόσεις του MongoDB Server v4.0
  • Όλες οι εκδόσεις του MongoDB Server v3.6

Το πρόβλημα έχει αντιμετωπιστεί στις εκδόσεις MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 και 4.4.30.

Συστάσεις και εναλλακτικές λύσεις

Η MongoDB συνιστά έντονα την αναβάθμιση στις επιδιορθωμένες εκδόσεις το συντομότερο δυνατόν. Σε περίπτωση που δεν είναι δυνατή η άμεση αναβάθμιση, προτείνεται η απενεργοποίηση της συμπίεσης zlib στον διακομιστή MongoDB, ξεκινώντας το mongod ή mongos με μια επιλογή networkMessageCompressors ή net.compression.compressors που αποκλείει ρητά το zlib. Άλλες επιλογές συμπίεσης που υποστηρίζει το MongoDB είναι οι snappy και zstd.

Πιθανές συνέπειες της ευπάθειας

Η CVE-2025-14847 επιτρέπει σε έναν απομακρυσμένο, μη αυθεντικοποιημένο επιτιθέμενο να προκαλέσει μια κατάσταση όπου ο διακομιστής MongoDB μπορεί να επιστρέψει μη αρχικοποιημένη μνήμη από το heap του. Αυτό θα μπορούσε να οδηγήσει στην αποκάλυψη ευαίσθητων δεδομένων μνήμης, περιλαμβάνοντας εσωτερικές πληροφορίες κατάστασης, δείκτες ή άλλα δεδομένα που μπορεί να βοηθήσουν έναν επιτιθέμενο στην περαιτέρω εκμετάλλευση.

Τι σημαίνει για τους χρήστες

Η ανακάλυψη αυτής της ευπάθειας υπογραμμίζει την ανάγκη για συνεχείς ενημερώσεις και παρακολούθηση των συστημάτων μας. Οι διαχειριστές βάσεων δεδομένων πρέπει να είναι ιδιαίτερα προσεκτικοί και να διασφαλίζουν την άμεση εφαρμογή των επιδιορθώσεων ασφαλείας. Επιπλέον, η χρήση εναλλακτικών μεθόδων συμπίεσης μπορεί να προσφέρει μια προσωρινή λύση, αλλά δεν αντικαθιστά την ανάγκη για αναβάθμιση.

Related Topics:
Advertisement