Luka w MongoDB, która udostępnia fragmenty pamięci z bazy #bezpieczeństwo

⚠️ W tej luce do MongoDB nie trzeba znać hasła. Czasem wystarczy sam adres IP serwera.

Chodzi o błąd nazwany MongoBleed (CVE-2025-14847). Serwer MongoDB potrafi „wypuścić” na zewnątrz losowe fragmenty swojej pamięci RAM.

Co to znaczy po ludzku?
MongoDB przyjmuje ruch sieciowy, który bywa skompresowany (zlib). I rozpakowuje go jeszcze zanim w ogóle sprawdzi, kto się łączy.

Jeśli ktoś wyśle specjalnie przygotowaną, skompresowaną paczkę, serwer może odesłać coś więcej niż powinien… czyli kawałki pamięci, w której mogą akurat siedzieć hasła do bazy, tokeny sesji, klucze do chmury, dane osobowe.

Najbardziej „sprzeczne z intuicją” jest to, że tu nie ma klasycznego włamania na konto. To coś bardziej jak potrząśnięcie serwerem tak, że z kieszeni wypadają karteczki z sekretami.

Skala? W sieci widać dziesiątki tysięcy wystawionych instancji, a exploit krąży i jest używany.

Co warto zrobić dziś (jeśli macie self-hosted MongoDB)?
Sprawdź wersję i zaktualizować do wydań z poprawką: 8.2.3, 8.0.17, 7.0.28 (i odpowiednich dla starszych linii).

Jeśli aktualizacja nie wchodzi od razu, tymczasowo wyłącz zlib i przede wszystkim upewnij się, że baza nie jest dostępna z internetu „bo kiedyś tak było wygodniej”.

Jeśli siedzicie na MongoDB Atlas, to tam poprawki mają być wdrożone automatycznie.

Pytanie: macie u siebie prostą listę „które bazy są wystawione na świat” i kto to regularnie sprawdza?

#cyberbezpieczeństwo #MongoDB #DevOps

Видео Luka w MongoDB, która udostępnia fragmenty pamięci z bazy #bezpieczeństwo канала Netige