漏洞信息详情

10gen MongoDB BSON Object Length Parsing 信息泄露漏洞

• CNNVD编号：CNNVD-201401-185
• 危害等级： 中危
  
• CVE编号： CVE-2012-6619
• 漏洞类型： 输入验证
• 发布时间： 2012-11-23
• 威胁类型： 远程
• 更新时间： 2014-03-10
• 厂        商： mongodb
• 漏洞来源： Mikhail Firstov

漏洞简介

MongoDB是美国MongoDB公司的一套开源的NoSQL数据库。该数据库提供面向集合的存储、动态查询、数据复制及自动故障转移等功能。

MongoDB 2.3.21及之前版本的默认配置存在安全漏洞，该漏洞源于程序没有验证对象。远程攻击者可借助插入命令的列名中特制的‘BSON’对象，利用该漏洞造成拒绝服务（崩溃）或读取系统内存。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://jira.mongodb.org/browse/SERVER-7769

参考网址

来源: jira.mongodb.org

链接:https://jira.mongodb.org/browse/SERVER-7769

来源: bugzilla.redhat.com

链接:https://bugzilla.redhat.com/show_bug.cgi?id=1049748

来源: MLIST

名称: [oss-security] 20140108 Re: MongoDB memory over-read via incorrect BSON object length (was: [HITB-Announce] HITB Magazine Issue 10 Out Now)

链接:http://www.openwall.com/lists/oss-security/2014/01/08/9

来源: MLIST

名称: [oss-security] 20140107 MongoDB memory over-read via incorrect BSON object length (was: [HITB-Announce] HITB Magazine Issue 10 Out Now)

链接:http://www.openwall.com/lists/oss-security/2014/01/07/2

来源: MLIST

名称: [oss-security] 20140107 Re: MongoDB memory over-read via incorrect BSON object length (was: [HITB-Announce] HITB Magazine Issue 10 Out Now)

链接:http://www.openwall.com/lists/oss-security/2014/01/07/13

来源: REDHAT

名称: RHSA-2014:0230

链接:http://rhn.redhat.com/errata/RHSA-2014-0230.HTML

来源: blog.ptsecurity.com

链接:http://blog.ptsecurity.com/2012/11/attacking-mongodb.HTML

来源: BID

名称: 64687

链接:http://www.securityfocus.com/bid/64687

受影响实体

• Mongodb Mongodb:2.3.1  
• Mongodb Mongodb:2.3.0  
• Mongodb Mongodb:2.2.6  
• Mongodb Mongodb:2.2.7  
• Mongodb Mongodb:2.2.5  

补丁

• mongo-r2.3.2
• mongo-r2.3.2