Artykuły dotyczące tematu: MongoDB 2.4

dodany: 29.03.2013 | tagi: , , ,

Luka w silniku JavaScript w MongoDB 2.2

0

Pojawił się exploit wykorzystujący lukę w MongoDB, popularnej bazie NoSQL. Odkrywca luki, ukrywający się pod nickiem agixid, zapowiedział powstanie modułu Metasploit. Sama luka dotyczy 32-bitowych systemów korzystających ze starej, chociaż ciągle wspieranej wersji MongoDB 2.3.3; trwają prace nad 64-bitowym exploitem. Najnowsza gałąź – 2.4 – nie jest podatna na atak.

Exploit wykorzystuje funkcję NativeHelper w silniku Javascript SpiderMonkey, aby wstrzyknąć natywny kod. Funkcja ta nie weryfikuje obiektu JS jaki otrzymuje. Twórcy MongoDB byli poinformowani o luce już 3 tygodnie temu, ale nie opublikowali jeszcze poprawki.

Jedną z funkcji nowej gałęzi MongoDB 2.4 jest zmiana silnika JavaScript na V8. Tym samym wydania 2.4.x są odporne na ten atak. Użytkownicy gałęzi 2.2 powinni jak najszybciej dokonać aktualizacji do nowego wydania albo trzymać kciuki za szybkie ukazanie się poprawionej wersji 2.2.