MongoDB trpí bezpečnostní chybou!
40 000 organizací které používají vysoce výkonnou, dokumentovou databázi MongoDB, jsou aktuálně díky objevení bezpečnostní chyby v nebezpečí.
Tři studenti ze Sárské univerzity v Německu – Kai Greshake, Eric Petryka a Jens Heyens – objevili, že databáze MongoDB je veřejně dostupná na TCP portu 27017 přímo z internetu. Objevitelé z Německa tvrdí, že jsou schopni získat takto přístup do databáze pro čtení i zápis bez jakýchkoliv hackerských znalostí. Celkem bylo nalezeno 39 890 postižených velkých společností, které neměly o této „chybě“ ani ponětí. Včetně nejmenované francouské telekomunikační společnosti s více než 8 miliony čísel uživatelů a adres.
Nalezení všech možných serverů bylo extrémně jednoduché, stačilo k tomu použít TCP port skener zvaný „masscan„. Nicméně všechny významné společnosti, jež byly v rámci testu náchylné vůči této chybě byly obeznámeny.
MongoDB se samozřejmě omluvilo, znovu zdůraznilo, že společnost bere bezpečnost velice vážně a ti, kteří jsou chybou postižení vyzývá, aby si aktualizovali databázi na nejnovější možnou verzi. Ta standardně limituje přístup pouze na localhost. Dále určitě doporučujeme pročíst si MongoDB Security Manual.
Dále po zadání portu :28017 se pak dalo ještě dosta až k diagnostické stránce.
Na mém serveru už jsem chybu opravil. Stačilo opravdu jen aktualizovat MongoDB na novější verzi.