MongoDB: Exploit im Netz, Metasploit-Modul in der Mache
Administratoren von MongoDB mit der Version 2.2.3 sollten so schnell wie möglich auf die aktuelle Version 2.4.1 wechseln. Es ist ein Exploit aufgetaucht, der einen serverseitigen Buffer-Overflow und Crash verursachen kann.
Für die Open-Source-Datenbank-Software MongoDB der Firma 10gen ist ein Exploit veröffentlicht worden, der von dem Entdecker der Lücke bald um ein Metasploit-Modul ergänzt werden soll. Der Exploit betrifft momentan 32-Bit-Systeme mit der Version 2.2.3. Das ist ein zwar schon etwas älterer, aber noch häufig eingesetzer Release-Zweig. Aktuell ist der 2.4er-Zweig.
Bereits in Version 2.4.0 hatten die Entwickler die für die Lücke verantwortliche JavaScript-Engine Spidermonkey mit V8 ausgetauscht, was den aktuellen Exploit unmöglich macht. Die neueste Version ist 2.4.1. Wer also von 2.2.3 wechseln möchte, sollte diese Version anvisieren.
Wie der Hacker "Agixid" schreibt, wurde die Schwachstelle in 2.2.3 schon vor drei Wochen an die 10gen-Entwickler gemeldet; diese reagierten bisher aber nicht direkt auf die Schwachstelle. Der Exploit von Agixid nutzt die default JavaScript-Engine Spidermonkey aus, um Schadcode über die NativeHelper-Funktion einzuschleusen und so einen serverseitigen Buffer-Overflow zu erzeugen. Durch die Native-Funktion wird ein JavaScript-Objekt ohne Prüfung abgerufen.
Neben der Ankündigung eines Metasploit-Moduls hat der Hacker Hinweise darauf gegeben, dass sobald wie möglich auch ein Exploit für 64bit-Systeme entwickelt werden soll.
[Update 26.03.2013 11:30 Uhr] Wie der Entdecker der Schwachstelle heise Security mitteilte, kontrolliert er bei seinem Exploit lediglich einen Zeiger auf eine Funktion. Um einen Buffer-Overflow handelt es sich dabei jedoch nicht. (kbe)