Szivárgó adatok: a MongoBleed veszélye
A MongoDB-ben használt zlib-tömörítési protokollfejlécek hibás hosszmezői miatt egy távoli támadó speciális hálózati csomaggal hozzáférhet a szerver véletlenszerű memóriatartalmához, még hitelesítés nélkül is. Ez azt jelenti, hogy elvileg bármilyen titkos információ kiszivároghat, ha a támadó elegendő kérést küld, és sokáig szabadon dolgozhat – például karácsonyi leállás idején, amikor a rendszergazdák éppen pihennek.
Gyors javítás nélkül nagy baj lehet
A MongoDB már december 15-én kiadta a hibajavítást. Egy kutató (aki MongoBleed néven illetette a rést) december 26-án példakódot is közzétett. Mindenkit azonnali frissítésre szólítottak fel, de ha ez valamiért nem megoldható, legalább a zlib-tömörítést érdemes letiltani a szerveren. A publikus, vagy akár belső, oldalirányú hozzáféréssel elérhető, sérülékeny MongoDB-szerverek jelenleg támadások célpontjai lehetnek.
Egy banális hiba, hatalmas veszély
A biztonsági rés abból fakad, hogy a hálózati réteg a hibás módosítások révén rossz méretű pufferekkel dolgozhat a hálózati üzenetek visszafejtése során, így a zlib-tömörítés helytelenül olyan memóriatartalmakat is visszaküldhet, amelyeknek semmi közük az adatbázis adataihoz. A CISA szerint az ilyen típusú sérülékenységek gyakori támadási vektorok, és komoly kockázatot jelentenek nagyvállalatoknak és állami szereplőknek is. Az ünnepek utáni visszatérés most sok rendszergazdának váratlanul stresszes lehet. Remélhetőleg a Mikulás már frissítette az adatbázisát!
