漏洞预警:MongoDB phpMoAdmin曝远程代码执行漏洞(高危0day)
漏洞预警:MongoDB phpMoAdmin曝远程代码执行漏洞(高危0day)cindy2015-03-04 发现6个不明物体 漏洞资讯
大约2个星期前,有超过40000家企业的MongoDB被发现易受黑客的攻击,而就在今天由于黑市上流传的一个高危0day漏洞又一次将MongoDB的用户置于了危险境地。
FreeBuf科普:MongoDB与phpMoAdmin
MongoDB是IT行业中流行的一种开源NoSQL数据库,其数据存储方式非常灵活,广泛应用于不同规模大小的公司中。其所有的数据持久操作都无需开发人员手动编写SQL语句,直接调用方法即可轻松的实现CRUD操作。
phpMoAdmin是一个免费、开源、以PHP为基础、基于AJAX的MongoDBGUI管理工具,管理者可轻松管理NoSQL数据库。
phpMoAdmin工具上存在0day漏洞
绰号为sp1nlock的黑客在phpMoAdmin上发现了一个远程代码执行0day漏洞,攻击者可以利用该漏洞劫持运行phpMoAdmin工具的网站。
该0day漏洞仍然有效,黑市有售
在写这篇文章时,我们还不知道phpMoAdmin开发者是否有意识到工具中存在0day漏洞,但确定的是该0day漏洞正在黑市上大量贩卖,并据黑市管理者证实该漏洞确实可以用。
最为不幸的是,到目前为止还没有任何人发布相关的补丁,也就是说所有的MongoDB用户还处在危险之中。
安全建议
为了数据库的安全,建议MongoDB用户暂时不要使用phpMoAdmin工具,直至开发者发布修复补丁。
但是如果你还想继续使用phpMoAdmin工具怎么办呢?暂时使用其他免费MongoDB GUI工具吧,具体如下:
RockMongo
MongoVUE
Mongo-Express
UMongo
Genghis
还有一个方法:使用分布式配置密码(htaccess password)限制未经授权的访问moadmin.php文件。
[参考来源thehackernews,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)]
支持中国红客联盟(ihonker.org) 还是不错的哦,顶了 支持中国红客联盟(ihonker.org) mongodb这么反人类的东西配置起来虐哭了~~
页:
[1]