MongDB’deki Yeni Güvenlik Açığı: Unutulmuş Bellek Okuma Tehlikesi
MongoDB üzerinde keşfedilen yeni bir güvenlik açığı, kimlik doğrulaması olmayan kullanıcıların, uninitialized heap bellekten veri okuyabilmesini sağlıyor. Bu durum, veritabanı sistemlerini ciddi şekilde tehdit eden bir noktaya işaret ediyor.
Açığın Nedenleri ve Detayları
Güvenlik açığı CVE-2025-14847 olarak adlandırılıyor ve CVSS puanı 8.7 olarak derecelendirildi. Bu zafiyet, programın veri ile ilişkili uzunluk alanlarının tutarsızlıklarını yönetememesinden kaynaklanıyor. Özellikle, Zlib sıkıştırma protokol başlıklarındaki uyumsuz uzunluk alanları, kimliği doğrulanmamış bir istemcinin uninitialized heap belleği okumasına olanak tanıyor.
Güvenlik açığı, hayati öneme sahip veri sızıntılarına yol açabilecek potansiyele sahip. MongoDB, bu durumun istemci tarafında bir sömürü ile gerçekleşebileceğini belirtiyor. Söz konusu durum, saldırganların sunucuya kimlik doğrulama gerektirmeden erişim sağlamasını sağlıyor.
Etki Altındaki Versiyonlar
MongoDB’nin aşağıdaki versiyonları bu güvenlik açığından etkilenmektedir:
- MongoDB 8.2.0’dan 8.2.3’e kadar
- MongoDB 8.0.0’dan 8.0.16’ya kadar
- MongoDB 7.0.0’dan 7.0.26’ya kadar
- MongoDB 6.0.0’dan 6.0.26’ya kadar
- MongoDB 5.0.0’dan 5.0.31’e kadar
- MongoDB 4.4.0’dan 4.4.29’a kadar
- MongoDB Server v4.2’nin tüm versiyonları
- MongoDB Server v4.0’nın tüm versiyonları
- MongoDB Server v3.6’nın tüm versiyonları
Bu nedenle, sistem yöneticilerinin bu versiyonları hızlı bir şekilde güncellemeleri büyük önem taşıyor. MongoDB, güvenlik açığının giderildiği yeni sürümleri duyurdu: 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 ve 4.4.30.
Güvenlik Açığından Nasıl Korunmalı?
Eğer güncelleme yapmak hemen mümkün değilse, MongoDB sunucusunda Zlib sıkıştırmayı devre dışı bırakmak önemlidir. Bunun için, mongod veya mongos başlatılırken networkMessageCompressors veya net.compression.compressors parametrelerini kullanarak Zlib’yi açıkça hariç tutmanıza olanak tanır. MongoDB’nin desteklediği diğer sıkıştırıcı seçenekler ise snappy ve zstd’dir.
Sonuç
CVE-2025-14847 açığı, uzaktan kimlik doğrulaması yapılmamış bir saldırganın MongoDB sunucusunun heap belleğinden uninitialized bellek verilerini elde etmesine olanak tanır. Bu durum, iç yapılar, yöntemler veya diğer verilerin ifşasına sebep olabilir. MongoDB, güvenlik ayarlarınızı kontrol etmenizi ve mümkün olan en kısa sürede güncellemeler yapmanızı öneriyor.
Unutmayın, veritabanı güvenliği her zaman öncelikli olmalıdır. Sadece yazılımsal güncellemelerle değil, aynı zamanda yapılandırmalarla da güvenliğinizi artırmanız kritik öneme sahiptir.
