MongoDB: kritische Sicherheitslücke in NoSQL-Datenbank

Das Sicherheitsteam der NoSQL-Datenbank-Software MongoDB hat am Freitag in eine schwerwiegende Sicherheitslücke dokumentiert: „Ein clientseitiger Exploit der zlib-Implementierung des Servers kann nicht initialisierten Heap-Speicher zurückgeben, ohne dass eine Authentifizierung am Server erforderlich ist. Wir empfehlen dringend, so schnell wie möglich auf eine korrigierte Version zu aktualisieren.“

Angreifer können einen Fehler in der Kompressionssoftware zlib ausnutzen, um auf nicht zurückgesetzten dynamischen Arbeitsspeicher (heap memory) zuzugreifen, wo möglicherweise noch alte Daten, etwa Passwörter, Schlüssel oder andere sensible Daten liegen. Die Zugangsdaten für die Datenbank bräuchte ein Angreifer dafür nicht. Eine Benutzerinteraktion ist dafür laut BleepingComputer nicht nötig.

Die Schwachstelle betrifft die folgenden MongoBB-Server-Versionen:

MongoDB 8.2.0 bis 8.2.3
MongoDB 8.0.0 bis 8.0.16
MongoDB 7.0.0 bis 7.0.26
MongoDB 6.0.0 bis 6.0.26
MongoDB 5.0.0 bis 5.0.31
MongoDB 4.4.0 bis 4.4.29

Sowie jeweils alle

MongoDB Server v4.2 Versionen
MongoDB Server v4.0 Versionen
MongoDB Server v3.6 Versionen

Diese sind jeweils auf MongoDB 8.2.3, 8.017, 7.0.28, 6.0.27, 5.0.32 oder 4.4.30 upzugraden.

Die unter CVE-2025-14847 veröffentlichte Sicherheitslücke gilt als kritisch und hat einen CVSS-Score von 8,7.
Wer nicht sofort auf eine der gepatchten Versionen upgraden kann, soll die zlib-Komprimierung auf dem MongoDB-Server deaktivieren. Das geht laut der MongoDB-Warnung, „indem man mongod oder mongos mit einer networkMessageCompressors - oder net.compression.compressors -Option startet, die zlib explizit ausschließt.“

MongoDB wird weltweit von mehr als 62.000 Kunden genutzt. Das Datenbankmanagementsystem sichert Daten in BSON-Dokumenten (Binary JSON) statt wie klassische relationale SQL-Datenbanken wie MySQL oder PostgreSQL in Tabellen.

(kst)