一、MongoDB Zlib 压缩协议堆内存信息泄露风险
MongoDB 是一个开源的、面向文档的 NoSQL 数据库,它广泛应用于现代 Web 应用、大数据、内容管理和实时分析等领域。
1. 风险内容
该漏洞源于 Zlib 压缩协议头中的长度字段不匹配,导致服务器端 Zlib 实现存在安全缺陷,当未经身份验证的客户端发送精心构造的、带有异常长度字段的压缩协议包时,可以诱使服务器从其堆内存中读取并返回未经初始化的数据。攻击者可以利用此漏洞,获取服务器进程内存中包含的数据库凭证、业务数据、配置信息等敏感内容,从而破坏数据的机密性。
2. 影响范围
8.2.0 <= MongoDB Server <= 8.2.2 8.0.0 <= MongoDB Server <= 8.0.16
7.0.0 <= MongoDB Server <= 7.0.27
6.0.0 <= MongoDB Server <= 6.0.26
5.0.0 <= MongoDB Server <= 5.0.31
4.4.0 <= MongoDB Server <= 4.4.29
MongoDB Server 4.2.* 所有版本
MongoDB Server 4.0.* 所有版本
MongoDB Server 3.6.* 所有版本
3. 修复建议
联系信息中心获取版本更新链接
