2025年12月27日Ravie Lakshmananデータベースセキュリティ / 脆弱性
MongoDBで重大な脆弱性が発見
MongoDBに重大なセキュリティ上の欠陥が特定され、機密データが不正なユーザーに露出する可能性があります。この懸念はCVE-2025-14847として指定された脆弱性に関するもので、共通脆弱性評価システム(CVSS)で8.7という高い深刻度スコアが付与されています。この問題の核心は、長さパラメータの不適切な取り扱いとされる点にあり、ソフトウェアプログラムが長さフィールドが実際のデータ長と一致しない状況を正確に処理できない場合に発生します。
脆弱性の理解
この欠陥は、Zlib圧縮プロトコルのヘッダー内にある長さフィールドの不一致に特に関係しています。この不整合により、未認証のクライアントが未初期化のヒープメモリを読み取れるようになり、保存された情報の完全性に深刻なリスクをもたらします。CVE.orgの公式説明で述べられているとおり、この脆弱性の性質上、機密性の高いシステムデータが意図せず露出する可能性があります。
影響を受けるバージョンは?
この脆弱性は、以下を含む複数のMongoDBバージョンに影響します。
- MongoDB 8.2.0 〜 8.2.3
- MongoDB 8.0.0 〜 8.0.16
- MongoDB 7.0.0 〜 7.0.26
- MongoDB 6.0.0 〜 6.0.26
- MongoDB 5.0.0 〜 5.0.31
- MongoDB 4.4.0 〜 4.4.29
- MongoDB Server v4.2 の全バージョン
- MongoDB Server v4.0 の全バージョン
- MongoDB Server v3.6 の全バージョン
これらのバージョンを運用しているユーザーには、直ちに対応することが強く推奨されます。
MongoDBはどのように対応しているのか?
MongoDBは新しいバージョンで修正を展開しており、具体的には8.2.3、8.0.17、7.0.28、6.0.27、5.0.32、および4.4.30です。同組織は、ユーザーに対してこれらのバージョンへ速やかにアップグレードするよう強く推奨しています。同社は、サーバーのZlib実装に対するクライアント側からの悪用により、攻撃者が認証なしで未初期化のヒープメモリへアクセスできる可能性があり、機密データに対する潜在的な脅威となることを強調しています。
ユーザーへの推奨事項
安全なMongoDBバージョンへのアップグレードを最優先とすべきですが、ユーザーによっては直ちに更新することが現実的でない場合もあります。そのような場合は、MongoDBサーバーでZlib圧縮を無効化することが推奨されます。これは、mongodまたはmongosを特定のオプション付きで起動し、Zlib圧縮を使用しないようにすることで実現できます。MongoDBはsnappyやzstdを含む代替の圧縮方式をサポートしており、暫定的な対策として利用できます。
さらに、OP InnovateはCVE-2025-14847の深刻さを指摘し、リモートの未認証攻撃者がヒープメモリから未初期化データにアクセスできる可能性があると述べています。これは機密情報の発見につながるだけでなく、攻撃者が内部状態情報、ポインタ、またはさらなる悪用の試みに役立つその他の価値あるデータを収集できる可能性もあります。
最新状態を維持する重要性
CVE-2025-14847のような脆弱性の発見は、ソフトウェアシステムを最新の状態に保つ重要性を改めて示しています。MongoDBのユーザーは警戒を怠らず、このようなセキュリティ上の欠陥に伴うリスクを軽減するために更新を積極的に適用すべきです。定期的な評価の実施とセキュリティパッチに関する情報の把握は、潜在的な侵害からデータを守るうえで不可欠な手順です。
