漏洞描述:
MongoDB Server是美国MongoDB公司的一套开源的NoSQL数据库,该数据库提供面向集合的存储、动态查询、数据复制及自动故障转移等功能,存在一个证书验证不当漏洞,该漏洞源于在特定条件下运行于Linux且启用TLS和CRL吊销状态检查时,未能检查对等证书链中中间证书的吊销状态,这可能会导致身份验证不正确,此问题还可能影响集群内身份验证。
修复建议:
正式防护方案:
厂商已发布补丁修复漏洞,建议下载相关补丁或联系厂商获取相关支持尽快更新至安全版本。
MongoDB Server 安全版本:
MongoDB Server >= 5.0.31
MongoDB Server >= 6.0.20
MongoDB Server >= 7.0.16
MongoDB Server >= 8.0.4
与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
参考链接:
https://jira.mongodb.org/browse/SERVER-95445
原文始发于微信公众号(飓风网络安全):【漏洞预警】MongoDB Server 证书验证不当漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论