MongoDB, CVE-2025-14847 olarak takip edilen ve saldırganların kimlik doğrulama olmadan veritabanı sunucularından başlatılmamış yığın belleği çıkarmasına olanak verebilecek kritik bir güvenlik açığını açıkladı.
v3.6’ya kadar uzanan birden fazla MongoDB sürümünü etkileyen kusur, sunucunun zlib sıkıştırma uygulamasındaki istemci tarafındaki bir istismardan kaynaklanıyor.
Güvenlik Açığı Genel Bakış
Güvenlik sorunu, kötü niyetli aktörlerin, ağ mesajı sıkıştırması için kullanılan zlib sıkıştırma mekanizmasından yararlanarak sunucu belleğinden hassas verileri almasına olanak tanıyor.
Bu güvenlik açığını özellikle ciddi kılan şey, saldırganların MongoDB sunucusunda kimlik doğrulaması yapmaya gerek kalmadan istismarı gerçekleştirebilmesi ve bu sayede istismarın önündeki engeli önemli ölçüde azaltmasıdır.
Güvenlik açığı, 8.2.0 ila 8.2.2, 8.0.0 ila 8.0.16, 7.0.0 ila 7.0.26, 6.0.0 ila 6.0.26, 5.0.0 ila 5.0.31 ve 4.4.0 ila 4.4.29 sürümleri dahil olmak üzere çok çeşitli MongoDB dağıtımlarını etkiliyor.
Ayrıca MongoDB Server 4.2, 4.0 ve 3.6 sürümlerinin tüm örnekleri güvenlik açığından etkilenir.
MongoDB, yama uygulanmış sürümlere acil yükseltme yapılmasını şiddetle tavsiye eder: 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 veya 4.4.30. Bu sürümler, başlatılmamış belleğin açığa çıkması sorununu gideren düzeltmeler içerir.
Hemen yükseltme yapamayan kuruluşlar, MongoDB sunucularında zlib sıkıştırmasını devre dışı bırakarak bir geçici çözüm uygulayabilir.
Bu, mongod veya mongos’un zlib’i açıkça hariç tutan networkMessageCompressors veya net.compression.compressors yapılandırma seçeneğiyle başlatılmasını içerir. Güvenli alternatif sıkıştırma değerleri arasında “hızlı,zstd” veya “devre dışı” yer alır.
Veritabanı yöneticileri, kritik niteliği ve kötüye kullanım için kimlik doğrulama gereksinimlerinin bulunmaması nedeniyle bu güvenlik açığına yama uygulanmasına öncelik vermelidir.
Açığa çıkan yığın belleği, kimlik bilgileri, sorgu verileri veya diğer gizli veritabanı içerikleri gibi hassas bilgileri potansiyel olarak içerebilir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.