MongoDB исправила DoS-уязвимость в своей базе данных

image

Теги: уязвимость, атака, база данных

Эксплуатация бреши позволяет удаленному злоумышленнику осуществить аварийный отказ в обслуживании.

Разработчики MongoDB - документно-ориентированной СУБД (система управления базами данных), применяемой в сферах, оперирующих большими объемами данных, исправили удаленно эксплуатируемую DoS-уязвимость.

Уязвимость  в отдельных сегментах базы данных была обнаружена в конце февраля нынешнего года исследователями безопасности подразделения компании Fortinet - FortiGuard Labs. Специалисты немедленно проинформировали о наличии бреши разработчиков системы, которые 17 марта выпустили обновление с исправлением уязвимости.

Согласно бюллетеню безопасности FortiGuard Labs, брешь  содержится  в старой версии (8.3) библиотеки PCRE (Perl Compatible Regular Expressions), реализующей работу регулярных выражений в запросах MongoDB. Брешь была исправлена в версиях библиотеки 3.0.1 и 2.6.9. Новейшие версии MongoDB поставляются с исправленной версией PCRE (8.36 и выше).

По  словам  специалиста по стратегии безопасности FortiGuard Labs Аамира Лакхани (Aamir Lakhani), для того чтобы получить доступ к базе, потенциальному атакующему совершенно необязательно быть авторизованным. Все, что потребуется для осуществления аварийного отказа в обслуживании – это просто отравить специально созданный пакет с запросом, содержащим определенное регулярное выражение.

«Я бы сказал, что для опытного атакующего, понимающего, что такое регулярное выражение, не составит труда осуществить данную атаку, особенно после изучения кода», - отметил Лакхани.

Всем компаниям, которые используют стандартную установку MongoDB, не требующую выполнения аутентификации для получения доступа к базе данных, рекомендуется провести обновление до исправленной версии и установить авторизацию. Как отмечается, злоумышленники, использующие поисковик Shodan или аналогичные сервисы, могут с легкостью обнаружить серверы MongoDB в Сети.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.