heise PlusAbo
Anzeige
Alert!

„MongoBleed“: Exploit für kritische Lücke in MongoDB erleichtert Angriffe

Wer für eine MongoDB-Instanz verantwortlich ist, kann sich nicht zurücklehnen: Ein Exploit für eine schwerwiegende Lücke macht Upgrades jetzt noch dringender.

vorlesen Druckansicht 1 Kommentar lesen
Stark verzerrtes Bild eines Fingers auf einer Tastatur, im Vordergrund ein digitales Ausrufezeichen

(Bild: janews/Shutterstock.com)

Stand:
Lesezeit: 3 Min.
Von

Wenige Tage nachdem das Sicherheitsteam der NoSQL-Datenbank-Software MongoDB eine schwerwiegende Sicherheitslücke eingestanden hat und noch während ein erheblicher Teil der Welt die Feiertage genießt, wurden Details und ein Exploit veröffentlicht, die Angriffe noch einmal deutlich erleichtern. Den Exploit hat der Technikchef der Softwarefirma Elastic „MongoBleed“ getauft und auf Github eingestellt. Laut ersten Berichten benötigt man dafür lediglich die IP-Adresse einer MongoDB-Instanz und kann verschiedene Inhalte aus dem Speicher abrufen, die im Klartext übermittelt werden. Weil er so leicht zu benutzen und MongoDB extrem weitverbreitet ist, dürfte die Lücke rasch in großem Umfang ausgenutzt werden, schreibt der Sicherheitsexperte Kevin Beaumont.

Laut den kurz vor Weihnachten veröffentlichten Details zur Lücke können Angreifer einen Fehler in der Kompressionssoftware zlib ausnutzen, um auf nicht zurückgesetzten dynamischen Arbeitsspeicher (heap memory) zuzugreifen. Darin liegen möglicherweise noch alte Daten, etwa Passwörter, Schlüssel oder andere sensible Informationen. Schon dazu hieß es, dass dafür keine Zugangsdaten und nicht einmal eine Benutzerinteraktion benötigt werden. Der jetzt verfügbare Exploit stellt das unter Beweis. Das unterstreicht die Dringlichkeit, mit der die Verantwortlichen von MongoDB-Instanzen dazu aufgerufen werden, diese zu aktualisieren.

Zahlreiche Versionen betroffen, Updates verfügbar

Die Schwachstelle betrifft die folgenden MongoDB-Server-Versionen:

MongoDB 8.2.0 bis 8.2.3
MongoDB 8.0.0 bis 8.0.16
MongoDB 7.0.0 bis 7.0.26
MongoDB 6.0.0 bis 6.0.26
MongoDB 5.0.0 bis 5.0.31
MongoDB 4.4.0 bis 4.4.29

Sowie jeweils alle

MongoDB Server v4.2 Versionen
MongoDB Server v4.0 Versionen
MongoDB Server v3.6 Versionen

Diese sind jeweils auf MongoDB 8.2.3, 8.017, 7.0.28, 6.0.27, 5.0.32 oder 4.4.30 upzugraden.

Videos by heise

Die unter CVE-2025-14847 veröffentlichte Sicherheitslücke gilt als kritisch und hat einen CVSS-Score von 8,7. Wer nicht sofort auf eine der gepatchten Versionen upgraden kann, soll die zlib-Komprimierung auf dem MongoDB-Server deaktivieren. Das geht laut der MongoDB-Warnung, „indem man mongod oder mongos mit einer networkMessageCompressors- oder net.compression.compressors-Option startet, die zlib explizit ausschließt.“

MongoDB wird weltweit von mehr als 62.000 Kunden genutzt, im Internet lassen sich über 200.000 Instanzen finden – übr 20.000 davon in Deutschland. Das Datenbankmanagementsystem sichert Daten in BSON-Dokumenten (Binary JSON) statt wie klassische relationale SQL-Datenbanken wie MySQL oder PostgreSQL in Tabellen.

(mho)

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten