Percona Database Performance Blog
·
CVE-2025-14847(MongoBleed)— MongoDB中的高危内存泄漏
💡
原文英文,约1000词,阅读约需4分钟。
📝
内容提要
MongoDB及其相关版本存在高危漏洞“mongobleed”(CVE-2025-14847),允许未经认证的远程攻击者提取敏感数据。受影响版本为MongoDB 4.0至8.2.2。建议禁用zlib网络压缩以降低风险,修复补丁预计在1月发布。
🎯
关键要点
- MongoDB及其相关版本存在高危漏洞'mongobleed'(CVE-2025-14847),允许未经认证的远程攻击者提取敏感数据。
- 受影响版本包括MongoDB 4.0至8.2.2,Percona Server for MongoDB也受到影响。
- 漏洞利用条件为MongoDB服务器可通过网络访问,并且允许zlib网络压缩。
- 建议禁用zlib网络压缩以降低风险,修复补丁预计在1月发布。
- 禁用zlib网络压缩的步骤包括修改启动参数或配置文件,确保只使用snappy和zstd压缩。
- 可以通过命令确认zlib是否已禁用,检查输出结果是否为'{ compressors: 'snappy,zstd' }'。
- 如果使用Percona Monitoring & Management,可以检查zlib相关的指标以确保没有数据通过zlib传输。
❓
延伸问答
什么是CVE-2025-14847漏洞?
CVE-2025-14847漏洞,也称为'mongobleed',允许未经认证的远程攻击者提取MongoDB服务器的敏感数据。
哪些MongoDB版本受到CVE-2025-14847漏洞的影响?
受影响的版本包括MongoDB 4.0至8.2.2,以及Percona Server for MongoDB。
如何降低CVE-2025-14847漏洞的风险?
建议禁用zlib网络压缩,以降低风险,直到修复补丁发布。
如何确认zlib网络压缩是否已禁用?
可以通过命令检查输出结果是否为'{ compressors: 'snappy,zstd' }'来确认zlib是否已禁用。
禁用zlib网络压缩的具体步骤是什么?
可以通过修改启动参数或配置文件,将压缩器设置为snappy和zstd来禁用zlib。
修复CVE-2025-14847漏洞的补丁何时发布?
修复补丁预计将在1月发布。
🏷️
标签
➡️
