dodany: 29.03.2013 | tagi: , , ,

Autor:

Luka w silniku JavaScript w MongoDB 2.2

0

Pojawił się exploit wykorzystujący lukę w MongoDB, popularnej bazie NoSQL. Odkrywca luki, ukrywający się pod nickiem agixid, zapowiedział powstanie modułu Metasploit. Sama luka dotyczy 32-bitowych systemów korzystających ze starej, chociaż ciągle wspieranej wersji MongoDB 2.3.3; trwają prace nad 64-bitowym exploitem. Najnowsza gałąź – 2.4 – nie jest podatna na atak.

Exploit wykorzystuje funkcję NativeHelper w silniku Javascript SpiderMonkey, aby wstrzyknąć natywny kod. Funkcja ta nie weryfikuje obiektu JS jaki otrzymuje. Twórcy MongoDB byli poinformowani o luce już 3 tygodnie temu, ale nie opublikowali jeszcze poprawki.

Jedną z funkcji nowej gałęzi MongoDB 2.4 jest zmiana silnika JavaScript na V8. Tym samym wydania 2.4.x są odporne na ten atak. Użytkownicy gałęzi 2.2 powinni jak najszybciej dokonać aktualizacji do nowego wydania albo trzymać kciuki za szybkie ukazanie się poprawionej wersji 2.2.

avatar
WebSecurity.pl to największy w Polsce portal o bezpieczeństwie sieciowym.
WebSecurity.pl to codziennie aktualizowane źródło najnowszych informacji i interesujących artykułów z zakresu bezpieczeństwa IT. Na WebSecurity.pl dzielimy się z Wami wiedzą (know-how) i umiejętnościami (how-to), publikując pomocne wskazówki, porady, kursy i tutoriale. Na portalu znajdziecie także prezentacje sprzętu oraz recenzje oprogramowania. WebSecurity.pl to również baza najciekawszych i najważniejszych wydarzeń branżowych w Polsce i na świecie.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *