MongoDBのアップデート、公開後も多くの組織で脆弱性放置

MongoDBの脆弱性を修正する更新版が3月17日にリリースされたにもかかわらず、多くの組織が対応しておらず、攻撃の標的にされる恐れがあるという。

» 2015年04月02日 08時27分 公開
[鈴木聖子ITmedia]
ビッグデータ分析などで利用が広がるMongoDB

 ビッグデータ分析などの用途で普及が加速しているNoSQL型データベースのMongoDBについて、多くの組織が最新のパッチを適用せず、脆弱性を放置したままの状態になっているという。最近発覚した脆弱性を突く攻撃の標的にされる恐れもあり、セキュリティ企業Fortinetが対応を呼び掛けている。

 Fortinetによると、同社の研究チームはリモートでデータベースアプリケーションのクラッシュを誘発できるMongoDBの脆弱性を2月に発見。この問題を突いてサービス妨害(DoS)攻撃を仕掛けられることを実証した。

 この脆弱性を悪用するためには、MongoDBのコマンドラインにリモートからアクセスする必要がある。しかし、MongoDBのデフォルトでは認証を要求していないため、認証を設定しなければ攻撃が通用してしまうという。

 脆弱性は古いPCREライブラリに起因しており、MongoDBは3月17日にリリースした最新版のバージョン3.01と2.6.9で、問題のライブラリを更新して脆弱性に対処した。

 ところが多くの組織では依然としてMongoDBを更新しないまま古いバージョンを使い続けているとFortinetは指摘し、「ユーザーや管理者はアップグレードの提供に対して特に気を配る必要がある」と呼び掛けている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ