MongoDB管理工具曝远程代码执行漏洞

本文涉及的产品
云数据库 MongoDB,独享型 2核8GB
推荐场景:
构建全方位客户视图
简介: 本文讲的是MongoDB管理工具曝远程代码执行漏洞,MongoDB,IT界主流非关系型数据库(NoSQL)平台之一,是基于表的关系型数据库的流行替代物。

本文讲的是 MongoDB管理工具曝远程代码执行漏洞,MongoDB,IT界主流非关系型数据库(NoSQL)平台之一,是基于表的关系型数据库的流行替代物。日前,用于管理MongoDB的一款图形用户界面(GUI)工具phpMoAdmin被暴具有非常严重的安全漏洞,一旦被利用,此漏洞将允许攻击者在服务器上执行命令。

image

phpMoAdmin为PHP语言写就,与MySQL的数据库管理工具phpMyAdmin类似,可使网站开发者和管理员能够利用GUI进行多种数据库操作。然而,phpMyAdmin有一个强大的开发社区为依托(鉴于其跟MySQL的关系),phpMoAdmin却在已经两年多没更新了。

最近,研究人员发现phpMoAdmin代码里藏有一个严重漏洞。如上文所言,如果这个漏洞被利用,攻击者将可以在服务器上执行命令。此漏洞在本月早些时候被公开,一些管理员已经开始报告遭到漏洞利用攻击。

phpMoAdmin的开发团队是否注意到代码漏洞我们尚不清楚。但,在Metasploit框架中相关模块发布前一周,罪犯就已经在售卖这一漏洞了。

漏洞的核心在于脚本在GET请求上使用了eval()函数。

eval(‘$find = ‘ . $_GET[‘find’] . ‘;’);

此时,可藉由改变$action变量触发漏洞。

http://localhost/phpmoadmin/moadmin.php?action=listRows&collection=0&find=array();system(%27whoami%27);exit;

网络上的一个主机托管中心操控的僵尸网络瞄准了此漏洞,试图通过这个漏洞传播由Perl脚本语言写成的IRCbot病毒。这段病毒脚本,还有传播方式,都与去年CSO网站报道过的Shellshock漏洞事件类似。

使用phpMoAdmin的用户最好更换另一种GUI工具。目前有很多这种工具,比如RockMongo、MongoVUE、Mongo-Express或者UMongo。如果不想换,那就只剩限制对phpMoAdmin的访问一途了。

phpMoAdmin项目目前处于停滞状态,有可能都已经被放弃了,更加凸显与开源代码相关的安全风险。如果真的没人对它进行维护,漏洞将永远处于未修补状态。

上个月,一个德国研究团队发现了大约4万个公开的MongoDB之后,MongoDB团队发布了一片博文,列出了一些基本的安全措施。鉴于当前事态发展情况,建议仔细阅读这篇文章,以及MongoDB的安全手册。

原文发布时间为:三月 18, 2015
本文作者:nana
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/threat-alert/6978.html

相关实践学习
MongoDB数据库入门
MongoDB数据库入门实验。
快速掌握 MongoDB 数据库
本课程主要讲解MongoDB数据库的基本知识,包括MongoDB数据库的安装、配置、服务的启动、数据的CRUD操作函数使用、MongoDB索引的使用(唯一索引、地理索引、过期索引、全文索引等)、MapReduce操作实现、用户管理、Java对MongoDB的操作支持(基于2.x驱动与3.x驱动的完全讲解)。 通过学习此课程,读者将具备MongoDB数据库的开发能力,并且能够使用MongoDB进行项目开发。   相关的阿里云产品:云数据库 MongoDB版 云数据库MongoDB版支持ReplicaSet和Sharding两种部署架构,具备安全审计,时间点备份等多项企业能力。在互联网、物联网、游戏、金融等领域被广泛采用。 云数据库MongoDB版(ApsaraDB for MongoDB)完全兼容MongoDB协议,基于飞天分布式系统和高可靠存储引擎,提供多节点高可用架构、弹性扩容、容灾、备份回滚、性能优化等解决方案。 产品详情: https://www.aliyun.com/product/mongodb
相关文章
|
3天前
|
NoSQL 关系型数据库 MongoDB
接口管理工具深度对比:Apipost与Apifox在Redis/MongoDB支持上的关键差异
近期在团队工具选型时,系统对比了Apifox和Apipost两款接口管理工具,我们的体会是:Apipost适合需要同时管理多种数据库的中大型项目,特别是涉及Redis/MongoDB等非关系型数据库的场景,Apifox仅建议在纯关系型数据库架构且预算有限的小型项目中短期使用。
22 3
|
4月前
|
NoSQL MongoDB PHP
MongoDB 管理工具: Rockmongo
10月更文挑战第24天
70 1
MongoDB 管理工具: Rockmongo
|
8月前
|
NoSQL MongoDB 数据库
MongoDB的GUI工具——Robo 3T连接远程数据库MongoDB
MongoDB的GUI工具——Robo 3T连接远程数据库MongoDB
430 0
|
9月前
|
NoSQL Linux MongoDB
MongoDB提供的这些工具
【6月更文挑战第8天】MongoDB提供的这些工具
169 6
|
9月前
|
NoSQL 数据可视化 关系型数据库
MongoDB提供的这些工具
【6月更文挑战第8天】MongoDB提供的这些工具
78 3
|
9月前
|
NoSQL 数据可视化 前端开发
MongoDB可视化工具Robo 3T的下载、安装与使用介绍
【6月更文挑战第3天】该文介绍了如何下载和安装MongoDB的图形化工具Robo 3T。首先,建议在开始之前安装MongoDB。然后,访问Robo 3T官网下载安装包,接受条款并选择适合的操作系统版本(此处以Windows 64位为例)。下载后,运行安装程序,依次点击"Next",选择安装路径,等待安装完成。安装后,启动Robo 3T,同意用户协议,免费激活并登录或注册账号。最后,按照提示完成配置步骤。
742 1
|
10月前
|
监控 NoSQL MongoDB
MongoDB性能调优:监控与诊断工具的技术探讨
【4月更文挑战第30天】本文探讨了MongoDB性能调优,重点关注监控与诊断工具。MongoDB自带的Shell和Profiler有助于理解数据库性能,而MMS、PMM和mongostat等第三方工具则提供实时监控和深度分析。调优实践包括优化索引、调整内存配置、分片与复制、硬件升级及查询优化。通过这些工具和策略,可有效提升MongoDB性能。
|
10月前
|
分布式计算 DataWorks NoSQL
DataWorks产品使用合集之DataWorks 集成工具是否支持对 MongoDB 的单字段更新操作
DataWorks作为一站式的数据开发与治理平台,提供了从数据采集、清洗、开发、调度、服务化、质量监控到安全管理的全套解决方案,帮助企业构建高效、规范、安全的大数据处理体系。以下是对DataWorks产品使用合集的概述,涵盖数据处理的各个环节。
98 0
|
10月前
|
NoSQL Shell MongoDB
MongoDB Shell工具:mongosh的使用
MongoDB Shell工具:mongosh的使用
3311 0
|
10月前
|
NoSQL 数据可视化 Linux
第7期 MongoDB GUI可视化客户端管理工具
第7期 MongoDB GUI可视化客户端管理工具
1054 0