Fortinet、MongoDBの脆弱性修正のアップデートを呼びかけ
Fortinetが遠隔からデータベースアプリをクラッシュさせるMongoDBの脆弱性を確認した。この脆弱性を突いたサービス運用妨害のデモンストレーションが研究者によって実証されている。
この脆弱性を実行させるにはMongoDBのコマンドラインに遠隔からアクセスする必要がある。しかしMongoDBはデフォルトでは認証を要求しないため、もし認証設定がされていない場合にはこの攻撃の影響を受ける。また、攻撃者はユーザの情報を使用することができ、管理者でなくとも攻撃が実行できる。一度ハッカーがアクセスに成功すると、システムのクラッシュが可能となる。MongoDBは最新版のバージョン3.01と2.6.9でこの脆弱性を修正した。しかし、3月17日にアップデートが公開されたあとも多くの企業が旧バージョンのデータベースを使い続けている。同社は、すぐに最新版をアップデートするよう呼びかけると共に、ユーザや管理者は可能なアップグレードにこまめに気を配る必要があるとしている。
