製品・ソフトウェアに関する情報

JVN脆弱性詳細

MongoDB のデフォルト設定におけるサービス運用妨害 (DoS) の脆弱性

Title	MongoDB のデフォルト設定におけるサービス運用妨害 (DoS) の脆弱性
Summary	MongoDB のデフォルト設定は、オブジェクトを検証しないため、サービス運用妨害 (クラッシュ) 状態にされる、またはシステムメモリを読まれる脆弱性が存在します。
Possible impacts	リモート認証されたユーザにより、insert コマンドの列名の巧妙に細工された BSON オブジェクトを介して、バッファオーバーリードを誘発されることで、サービス運用妨害 (クラッシュ) 状態にされる、またはシステムメモリを読まれる可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Dec. 20, 2012, midnight
Registration Date	March 7, 2014, 6:01 p.m.
Last Update	March 7, 2014, 6:01 p.m.

Affected System

MongoDB Inc.

MongoDB 2.3.2 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2012-6619	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-6619
National Vulnerability Database (NVD)
2	CVE-2012-6619	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-6619

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-119	https://jvndb.jvn.jp/ja/cwe/CWE-119.html

ベンダー情報

No	Name	URL
MongoDB
1	SERVER-7769	https://jira.mongodb.org/browse/SERVER-7769
Red Hat Bugzilla
2	Bug 1049748	https://bugzilla.redhat.com/show_bug.cgi?id=1049748
Red Hat Security Advisory
3	RHSA-2014:0230	http://rhn.redhat.com/errata/RHSA-2014-0230.html

Change Log

No	Changed Details	Date of change
0	[2014年03月07日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2012-6619

Summary	The default configuration for MongoDB before 2.3.2 does not validate objects, which allows remote authenticated users to cause a denial of service (crash) or read system memory via a crafted BSON object in the column name in an insert command, which triggers a buffer over-read.
Publication Date	March 7, 2014, 12:55 a.m.
Registration Date	Jan. 28, 2021, 3:08 p.m.
Last Update	Nov. 21, 2024, 10:46 a.m.

Affected software configurations

Related information, measures and tools

No	URL	タグ
1	http://blog.ptsecurity.com/2012/11/attacking-mongodb.html	Exploit
2	http://blog.ptsecurity.com/2012/11/attacking-mongodb.html	Exploit
3	http://rhn.redhat.com/errata/RHSA-2014-0230.html
4	http://rhn.redhat.com/errata/RHSA-2014-0230.html
5	http://rhn.redhat.com/errata/RHSA-2014-0440.html
6	http://rhn.redhat.com/errata/RHSA-2014-0440.html
7	http://www.openwall.com/lists/oss-security/2014/01/07/13
8	http://www.openwall.com/lists/oss-security/2014/01/07/13
9	http://www.openwall.com/lists/oss-security/2014/01/07/2
10	http://www.openwall.com/lists/oss-security/2014/01/07/2
11	http://www.openwall.com/lists/oss-security/2014/01/08/9
12	http://www.openwall.com/lists/oss-security/2014/01/08/9
13	https://bugzilla.redhat.com/show_bug.cgi?id=1049748
14	https://bugzilla.redhat.com/show_bug.cgi?id=1049748
15	https://jira.mongodb.org/browse/SERVER-7769	Exploit Vendor Advisory
16	https://jira.mongodb.org/browse/SERVER-7769	Exploit Vendor Advisory

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html