A MongoBleed 87 ezer MongoDB-szerver titkait veszélyezteti
Tömeges adatlopás a MongoDB-ben: 87 000 szerver kitett helyzetben
Egy súlyos biztonsági rés, a MongoBleed (CVE-2025-14847) miatt több mint 87 000 nyilvánosan elérhető MongoDB-szerver szivárogtathat ki bizalmas adatokat világszerte. A hibát már aktívan támadják, a kihasználás módja nyilvánosan elérhető. Többek között könnyen ellophatók szerverjelszavak, API- vagy felhőkulcsok, session tokenek, felhasználói személyes adatok, belső naplók, konfigurációs fájlok és kliensspecifikus információk. A sérülékenység lehetővé teszi, hogy az adatok már az azonosítás előtt kiszivárogjanak, így a támadóknak nincs szükségük jogosultságokra sem.
Hogyan működik a MongoBleed?
A MongoBleed a MongoDB adatbázisszerver és a zlib tömörítők könyvtár hibás memóriakezeléséből ered. A szerver a csomag feldolgozásakor tévesen a memóriafoglalás méretét küldi vissza, nem a tömörítés utáni adat hosszát. Ha egy támadó hibásan megformázott üzenetet küld – amely a dekompresszált adathosszra hivatkozva nagyobb memóriaterület lefoglalását éri el –, a szerver visszaküldhet érzékeny adatokat a kliensnek. Ehhez mindössze a sérülékeny MongoDB-példány IP-címe szükséges, a támadók pedig akár felhasználói jelszavakat, AWS-kulcsokat vagy egyéb titkos adatokat is ki tudnak szedni a memóriából.
December végén mintegy 20 000 szervert az USA-ban, közel 17 000-et Kínában, majdnem 8 000-et Németországban találtak, amelyek az interneten elérhetők. Felhőalapú környezetekben különösen aggasztó a helyzet: egy biztonsági cég szerint az általuk vizsgált rendszerek 42%-a futtat legalább egy sérülékeny MongoDB-verziót, ráadásul ezek között nemcsak nyilvános, hanem belső, vállalati környezetek is vannak.
Javítás, észlelés, védekezési tippek
A MongoDB kiadta a javítást — az adminisztrátoroknak haladéktalanul a következő verziókra kell frissíteniük (8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 vagy 4.4.30), mivel a 2017 és 2025 között megjelent régebbi MongoDB-k is érintettek. Megkerülő lehetőség nincs, de ha a frissítés egyelőre nem megoldható, érdemes kikapcsolni a zlib tömörítést (a lépéseket ismertették). Emiatt alternatív veszteségmentes tömörítők is használhatók: például a Zstandard (Zstd) vagy a Snappy (korábban: Zippy). A MongoDB Atlas felhőszolgáltatás felhasználói szerencsére automatikusan védve vannak. Javasolt minden szervezetnek nemcsak javítani, hanem a rendszerek naplóit is aktívan ellenőrizni, gyanús forgalom után kutatni – például olyan IP-ket figyelni, amelyekről tömeges, de metaadat nélküli kapcsolatok indultak.
A január 23-án megjelent Lorwyn Eclipsed minden eddiginél gyorsabban fogy a Magic: The Gathering történetében, így újabb csúcsot állított be a 33 éves kártyajáték életében...
💻 A Microsoft elkezdte terjeszteni az új Secure Boot tanúsítványokat a szokásos havi Windows-frissítésekkel, mivel az eredetileg 2011-ben bevezetett tanúsítványok 2026...
🟢 A Blockchain.com kriptotőzsde sikeresen megszerezte az Egyesült Királyság pénzügyi felügyeletének, az FCA-nak a regisztrációját, ami lehetővé teszi, hogy hivatalosan is kriptoszolgáltatásokat nyújtson az országban...
🚨 A Kraken kriptotőzsde az első félévben esedékes, régóta várt tőzsdei bevezetésére készülve váratlanul megvált pénzügyi igazgatójától, Stephanie Lemmermantól...
🖩 Újabb elképesztő limitált kiadást dob piacra a Razer: 25 évvel az első Boomslang után visszatér a legendás gamer egér, de a pénztárcád nem lesz hálás érte...
🚀 Felmerül a kérdés, meddig tart az ingyenes paradicsom: az OpenAI legújabb MI-alapú Codex alkalmazása már az első héten elérte az egymilliós letöltési küszöböt, miközben csak Mac számítógépeken érhető el...
🔒 A Microsoft automatikusan lecseréli a Secure Boot-tanúsítványokat a Windows-eszközökön, mielőtt a régiek 2026 júniusa és októbere között lejárnának...
Nyár volt 2020-ban, amikor Walter Crist kutató egy hollandiai múzeumban sétált, amely az ókori Római Birodalom hollandiai jelenlétének szentelt kiállításokat mutatott be...
💡 A Philips Hue Lucca nevű kültéri lámpacsaládja hamarosan jelentős frissítést kap, amelynek köszönhetően a lámpák nemcsak világosabbak, hanem színesebbek is lesznek...
Amerikai felhasználóknál már megjelentek a hirdetések a ChatGPT-ben, ami komoly fordulópontot jelent az MI üzleti modellje és a felhasználói élmény szempontjából...
A Yahoo Japan és a LINE 2021-es egyesülése nem csupán a cégméretet növelte meg, de teljesen új alapokra helyezné a régiós digitális szolgáltatásokat is – most bejelentették, hogy három éven belül teljesen egységes, privát felhőinfrastruktúrát szeretnének kialakítani...
Egy új, a Michigani Egyetemen kifejlesztett MI-rendszer képes másodpercek alatt kiértékelni az agyi MRI-felvételeket, 97,5%-os pontossággal azonosítva a neurológiai betegségeket, és segítséget nyújtva a sürgősségi esetek felismerésében is...
A Google hivatalosan is megerősítette, hogy a Pixel 10a február 18-án előrendelhetővé válik, és kiemelte, hogy ez lesz eddig a legstrapabíróbb Pixel A-szériás modell...
💉 Az Ozempic és a Wegovy készítményeiről ismert Novo Nordisk jogi lépéseket tett a rivális Hims & Hers ellen az Egyesült Államokban, mert szerinte veszélyes, hamisított fogyókúrás gyógyszereket árusít...
Erre utal többek között az, hogy egy friss, nagyszabású kutatás szerint azok, akik elhízottak, jelentősen nagyobb arányban kerülnek kórházba, illetve halnak meg különféle fertőzések miatt, legyen szó vírusokról, baktériumokról, gombákról vagy parazitákról...
Egy kínai és Saint Kitts és Nevis-i állampolgárságú férfit távollétében húsz év börtönre ítéltek, amiért részt vett egy nemzetközi, úgynevezett „pig butchering” (szerelmi csalás) típusú kriptovaluta-befektetési átverésben, amellyel több mint 26 milliárd forintot (73 millió USD) csaltak ki áldozatoktól...
💡 Az ADHD világa sokszor zavaros: egymásnak ellentmondó ajánlások, bizonytalan hatású módszerek és éveken át tartó találgatás nehezítette a döntést orvosoknak és érintetteknek egyaránt...
