Sicherheitslücke in MongoDB: Schwachstelle ermöglicht DoS-Angriffe noch vor Authentifizierung

Eine kritische Sicherheitslücke im MongoDB Server ermöglicht Angreifern unter bestimmten Bedingungen Denial-of-Service-Angriffe (DoS) bereits vor der Authentifizierung. Die Schwachstelle betrifft die Implementierung der OpenID-Connect-(OIDC)-Authentifizierung.

Wie der Hersteller mitteilt, kann es bei der Verarbeitung speziell präparierter JSON-Daten mit bestimmten Datumswerten zu einem sogenannten invarianten Fehler kommen, der den Server zum Absturz bringt. Die Attacke lässt sich mit der Mongo-Shell durchführen – ein einziger bösartiger Request reicht aus.

Betroffen sind die MongoDB-Server-Versionen:

• 7.0 bis einschließlich 7.0.16

• 8.0 bis einschließlich 8.0.4

• 6.0 bis einschließlich 6.0.20 (hier tritt der Fehler allerdings erst nach erfolgreicher Authentifizierung auf)

Nutzer sollten schnellstmöglich auf die abgesicherten Versionen aktualisieren, um potenzielle Angriffe abzuwehren.

Beschreibung

Der MongoDB Server ist aufgrund einer unsachgemäßen Verarbeitung bestimmter Datumswerte in JSON-Eingaben bei Verwendung der OIDC-Authentifizierung anfällig für eine Denial-of-Service-Sicherheitslücke. Diese kann mithilfe der Mongo-Shell reproduziert werden, indem eine bösartige JSON-Nutzlast gesendet wird, die zu einem invarianten Fehler und einem Serverabsturz führt. Dieses Problem betrifft MongoDB Server v7.0-Versionen vor 7.0.17 und MongoDB Server v8.0-Versionen vor 8.0.5.

Das gleiche Problem betrifft MongoDB Server v6.0-Versionen vor 6.0.21, jedoch kann ein Angreifer einen Denial-of-Service erst nach der Authentifizierung auslösen.

CVSS Score:

7.5 – https://www.first.org/cvss/calculator/3.1#CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

List all affected product versions:

MongoDB Server v6.0 versions prior to 6.0.21

MongoDB Server v7.0 versions prior to 7.0.17

MongoDB Server v8.0 versions prior to 8.0.5