Nachrichten, Gerüchte, Meldungen und Berichte aus der IT-Szene

Redaktion: Heinz Schmitz


Zero-Day-Lücke in MongoDB Administrations-Tool

Die Experten von Trend Micro warnen vor einer Zero-Day-Sicherheitslücke im „PHP MongoDB Administration Tool“ (kurz: phpMoAdmin). Das quelloffene und kostenlose Administrationswerkzeug dient der Verwaltung der ebenfalls quelloffenen noSQL-Datenbank MongoDB. Aufgrund einer Sicherheitslücke in der phpMoAdmin-Datei „moadmin.php“ können Angreifer Systembefehle auf den MongoDB-Servern ausführen, ohne sich vorher als Administrator ausweisen und anmelden zu müssen.

 

Bei der Lücke handelt es sich um einen so genannten Command-Injection-Fehler. Dadurch lassen sich Shell-Befehle wie „system“, „eval“, „exec“ als Teil gewöhnlicher Nutzeranfragen anwenden. So erhalten Angreifer auch ohne Administratorenrechte die Kontrolle über die Server und können darauf Schädlinge oder Spionagesoftware ausführen. Trend Micro empfiehlt daher, den Zugriff auf das Administrationsinterface z. B. mit Firewall-Regeln auf berechtigte Quelladressen zu beschränken.

 

Weitere Informationen unter:

http://blog.trendmicro.de/zero-day-sicherheitsluecke-in-der-mongodb-verwaltung/

Zurück