A MongoBleed 87 ezer MongoDB-szerver titkait veszélyezteti
Tömeges adatlopás a MongoDB-ben: 87 000 szerver kitett helyzetben
Egy súlyos biztonsági rés, a MongoBleed (CVE-2025-14847) miatt több mint 87 000 nyilvánosan elérhető MongoDB-szerver szivárogtathat ki bizalmas adatokat világszerte. A hibát már aktívan támadják, a kihasználás módja nyilvánosan elérhető. Többek között könnyen ellophatók szerverjelszavak, API- vagy felhőkulcsok, session tokenek, felhasználói személyes adatok, belső naplók, konfigurációs fájlok és kliensspecifikus információk. A sérülékenység lehetővé teszi, hogy az adatok már az azonosítás előtt kiszivárogjanak, így a támadóknak nincs szükségük jogosultságokra sem.
Hogyan működik a MongoBleed?
A MongoBleed a MongoDB adatbázisszerver és a zlib tömörítők könyvtár hibás memóriakezeléséből ered. A szerver a csomag feldolgozásakor tévesen a memóriafoglalás méretét küldi vissza, nem a tömörítés utáni adat hosszát. Ha egy támadó hibásan megformázott üzenetet küld – amely a dekompresszált adathosszra hivatkozva nagyobb memóriaterület lefoglalását éri el –, a szerver visszaküldhet érzékeny adatokat a kliensnek. Ehhez mindössze a sérülékeny MongoDB-példány IP-címe szükséges, a támadók pedig akár felhasználói jelszavakat, AWS-kulcsokat vagy egyéb titkos adatokat is ki tudnak szedni a memóriából.
December végén mintegy 20 000 szervert az USA-ban, közel 17 000-et Kínában, majdnem 8 000-et Németországban találtak, amelyek az interneten elérhetők. Felhőalapú környezetekben különösen aggasztó a helyzet: egy biztonsági cég szerint az általuk vizsgált rendszerek 42%-a futtat legalább egy sérülékeny MongoDB-verziót, ráadásul ezek között nemcsak nyilvános, hanem belső, vállalati környezetek is vannak.
Javítás, észlelés, védekezési tippek
A MongoDB kiadta a javítást — az adminisztrátoroknak haladéktalanul a következő verziókra kell frissíteniük (8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 vagy 4.4.30), mivel a 2017 és 2025 között megjelent régebbi MongoDB-k is érintettek. Megkerülő lehetőség nincs, de ha a frissítés egyelőre nem megoldható, érdemes kikapcsolni a zlib tömörítést (a lépéseket ismertették). Emiatt alternatív veszteségmentes tömörítők is használhatók: például a Zstandard (Zstd) vagy a Snappy (korábban: Zippy). A MongoDB Atlas felhőszolgáltatás felhasználói szerencsére automatikusan védve vannak. Javasolt minden szervezetnek nemcsak javítani, hanem a rendszerek naplóit is aktívan ellenőrizni, gyanús forgalom után kutatni – például olyan IP-ket figyelni, amelyekről tömeges, de metaadat nélküli kapcsolatok indultak.
🍫 Évtizedek óta rajonganak érte, de a Reese’s mogyoróvajas csészék (Reese’s Peanut Butter Cups) népszerűsége ellenére az utóbbi időben változtattak a recepten: néhány különleges alkalomra készült terméken, például a kis húsvéti tojásokon, csökkent a valódi csokoládé aránya, olcsóbb összetevőkkel helyettesítve azt...
Nyolc évvel ezelőtt indult útjára az 1.1.1.1 nyilvános DNS-feloldó, amelynek célja nem kevesebb volt, mint a világ leggyorsabb, a magánszférát tiszteletben tartó szolgáltatásának létrehozása...
Washingtonban mondott beszédében Harry herceg kemény hangot ütött meg a közösségi oldalak működésével kapcsolatban, amikor elismerően szólt két friss, nagy horderejű perről, amelyek főként a gyerekek védelmét érintik...
😴 A korán kezdődő munkanapok milliók mindennapjait keserítik meg, hiszen a hajnalban kezdődő műszak biológiailag kényszerű kompromisszum: az agy ilyenkor még alvásra van programozva, a teljesítmény pedig jelentősen csökken...
🚀 Elon Musk újra a figyelem középpontjában: a SpaceX titokban beadta a tőzsdei bevezetéshez szükséges papírokat az Egyesült Államok Értékpapír- és Tőzsdebizottságához...
Jack Dorsey, a Block alapítója és vezérigazgatója szerint a vállalatok egy új működési korszak küszöbén állnak, amelyben a középvezetői réteg szerepét nagyrészt a mesterséges intelligencia veheti át...
A Google sürgősséggel adott ki frissítést a Chrome böngészőhöz, miután felfedeztek egy negyedik, ebben az évben aktívan kihasznált nulladik napi hibát...
Ez a jelenség jól illusztrálható azzal, hogy az Apple, amely évtizedeken át forradalmasította a technológiai világot és termékeivel új szokásokat teremtett, ma saját történetének egyik legkritikusabb szakaszához érkezett...
Egy kanadai tinédzser élete teljesen felborult, amikor szinte egyik napról a másikra testét ismeretlen eredetű csalánkiütések lepték el, valahányszor víz érte a bőrét...
Érdemes megvizsgálni, hogy a tokenizáció, vagyis eszközök blokklánc-alapú nyilvántartása és átruházása miért vált az utóbbi évek egyik legnagyobb kriptós hívószavává...
🛡 2026 tavaszán a világ legnagyobb kiberbiztonsági konferenciáján futótűzként terjedt egy nyugtalanító felismerés: soha nem volt még ilyen rövid az ablak, amelyen keresztül a védelmezők megállíthatják a támadásokat...
A NASA továbbra is április 1-re tervezi az Artemis II küldetés indítását, és jelenleg sem az űrhajóval, sem a csapattal kapcsolatban nincs jelentős technikai probléma...
Steve Jobs neve egybeforrt az Apple-lel, az iPhone‑nal, iPaddal és iMaccal, mégis egészen másból származott az a vagyon, amely később milliárdossá tette...
Tipikus eset, amikor a tudomány és a praktikum találkozik: a CERN mérnökei ezúttal egy olyan szupergyors gokartot fejlesztettek, amellyel a nyáron induló nagyszabású karbantartási munkák idején rekordsebességgel száguldozhatnak majd a munkatársak a 27 kilométeres föld alatti alagútban...
Vannak helyzetek, amikor egy lakás vagy ház csak ideiglenes otthon: katonacsaládok, albérlők, lakásfelújítók vagy akik gyakran költöznek, gyakran szembesülnek azzal, hogyan biztosítsák a védelmet...
