漏洞预警：MongoDB phpMoAdmin曝远程代码执行漏洞（高危0day）

节奏

漏洞预警：MongoDB phpMoAdmin曝远程代码执行漏洞（高危0day）

cindy  2015-03-04 发现6个不明物体 漏洞资讯               




大约2个星期前，有超过40000家企业的MongoDB被发现易受黑客的攻击，而就在今天由于黑市上流传的一个高危0day漏洞又一次将MongoDB的用户置于了危险境地。

FreeBuf科普：MongoDB与phpMoAdmin

MongoDB是IT行业中流行的一种开源NoSQL数据库，其数据存储方式非常灵活，广泛应用于不同规模大小的公司中。其所有的数据持久操作都无需开发人员手动编写SQL语句,直接调用方法即可轻松的实现CRUD操作。
phpMoAdmin是一个免费、开源、以PHP为基础、基于AJAX的MongoDBGUI管理工具，管理者可轻松管理NoSQL数据库。


phpMoAdmin工具上存在0day漏洞

绰号为sp1nlock的黑客在phpMoAdmin上发现了一个远程代码执行0day漏洞，攻击者可以利用该漏洞劫持运行phpMoAdmin工具的网站。

该0day漏洞仍然有效，黑市有售

在写这篇文章时，我们还不知道phpMoAdmin开发者是否有意识到工具中存在0day漏洞，但确定的是该0day漏洞正在黑市上大量贩卖，并据黑市管理者证实该漏洞确实可以用。

最为不幸的是，到目前为止还没有任何人发布相关的补丁，也就是说所有的MongoDB用户还处在危险之中。



安全建议

为了数据库的安全，建议MongoDB用户暂时不要使用phpMoAdmin工具，直至开发者发布修复补丁。

但是如果你还想继续使用phpMoAdmin工具怎么办呢？暂时使用其他免费MongoDB GUI工具吧，具体如下：
RockMongo
MongoVUE
Mongo-Express
UMongo
Genghis

还有一个方法：使用分布式配置密码（htaccess password）限制未经授权的访问moadmin.php文件。

[参考来源thehackernews，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）]

fireworld

支持中国红客联盟(ihonker.org)

小路

还是不错的哦，顶了

xiaoqqf4

arctic

fireworld

支持中国红客联盟(ihonker.org)

08-wh

贯之

mongodb这么反人类的东西配置起来虐哭了~~