ドキュメントデータベースベンダーのMongoDBは、認証されていないユーザーが初期化されていないヒープメモリを読み取れる可能性がある欠陥が発見されたことを受け、顧客に対し直ちに更新するよう勧告した。
CVE-2025-14847と指定されたこのバグは、zlib圧縮されたプロトコルヘッダー内の長さフィールドの不一致に起因し、攻撃者が任意のコードを実行し、最終的にデバイスの制御を奪取する可能性がある。
この欠陥は、以下のMongoDBおよびMongoDB Serverのバージョンに影響する:
- MongoDB 8.2.0〜8.2.3
- MongoDB 8.0.0〜8.0.16
- MongoDB 7.0.0〜7.0.26
- MongoDB 6.0.0〜6.0.26
- MongoDB 5.0.0〜5.0.31
- MongoDB 4.4.0〜4.4.29
- MongoDB Server v4.2の全バージョン
- MongoDB Server v4.0の全バージョン
- MongoDB Server v3.6の全バージョン
MongoDBはアドバイザリの中で、ユーザーに対し、修正済みバージョン(MongoDB 8.2.3、8.0.17、7.0.28、6.0.27、5.0.32、または4.4.30)へ直ちにアップグレードすることを「強く推奨」した。
ただし同社は、「すぐにアップグレードできない場合は、mongodまたはmongosを、zlibを明示的に除外するnetworkMessageCompressorsオプション、またはnet.compression.compressorsオプションを指定して起動し、MongoDB Server上でzlib圧縮を無効化してください」と述べた。
開発者向けの最も人気のあるNoSQLドキュメントデータベースの1つであるMongoDBは、現在、Fortune 100の70%を含む世界中で62,000社以上の顧客を抱えているとしている。
この記事は元々InfoWorldに掲載されたものです。
ソース: csoonline.com
