阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 14777阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】CVE-2017-15535:MongoDB内存破坏漏洞

级别: 论坛版主
发帖
241
云币
478
^6oqq[$  
2017年10月30日,Mongodb数据库爆出内存破坏漏洞 ,CVE编号CVE-2017-15535,攻击者可以利用此问题导致拒绝服务条件或修改内存。由于这个问题的性质,代码执行可能是可能的,但这还没有得到证实。MongoDB Mongodb 3.4.10 以下受影响,MongoDB Mongodb 3.6.0-rc0也受影响。 b DS1'Ce  
警惕:由于在2017年上半年,多次发生MongoDB被黑客数据勒索对象,为了业务安全阿里安全提示您关注MongoDB漏洞,及时修补漏洞,防止发生数据被删除等严重影响业务稳定性的安全事件。 .GN$H>')  
具体详情如下: Qf>Pb$c$U  
eJGos!>*  

nj0AO0  
漏洞编号: zZc@;S#  
CVE-2017-15535 9*+0j2uhQ  
漏洞名称: !TL}~D:J  
MongoDB内存破坏漏洞 /_OZ1jX  
官方评级: -,A5^>}%,Y  
高危 >X,Ag  
漏洞描述: <o7#?AcPu  
当启用线协议压缩功能时,恶意攻击者可能利用现有的漏洞拒绝服务或修改服务器内存。 u?3NBc$~A  
漏洞利用条件和方式: ?U/Wio$@  
通过PoC直接远程利用。 E:4P1,%01+  
PoC状态: $:E}Nj]{&  
未公开 QcG5PV  
漏洞影响范围: EY&C [=  
3.4.0 to 3.4.9 #!Cter2  
不受影响版本: &<V_[Wh"  
MongoDB Mongodb 3.4.10 \*%i#]wO@  
MongoDB Mongodb 3.6.0-rc0 ?)[zLnxc&  
漏洞检测: )*K<;WI WH  
开发人员检查是否使用了受影响版本范围内的MongoDB。 nN`Z0?  
漏洞修复建议(或缓解措施): $#7J\=GZ+  
  • 目前官方已经发布新版本,建议您升级到3.4.10版本以上修复该漏洞;
  • 同时建议您对安装部署完毕的MongoDB数据库进行手工安全加固 ,也可以使用安骑士基线功能动检测,并根据检测结果进行加固。
y{`(|,[  
情报来源: 3']:1B  
  • https://www.mongodb.com/alerts/
  • http://www.securityfocus.com/bid/101689/info
i$JG^6,O  
{eswe  
QI#*5zm  
[%84L@:h  
Wz-3?EQ  
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)