MongoDBサーバに情報漏えいの脆弱性 広範囲に影響が及ぶ可能性：セキュリティニュースアラート

MongoDBに未初期化メモリが外部に漏えいする脆弱性が見つかった。特定の圧縮処理に起因し、認証前でも影響が及ぶ。複数の主要バージョンが対象となり、修正版への更新が必要とされている。

[ITmedia エンタープライズ編集部]

　MongoDBは2025年12月15日（現地時間）、サーバ製品に内在していた深刻な不具合を修正したと発表した。外部からの接続時、特定条件下で本来公開されるべきでないメモリ内容が公開される可能性が確認された。製品の信頼性と安全性に直結するため、優先度の高い修正として扱われている。

MongoDBサーバに情報漏えいの脆弱性　広範囲に影響が及ぶ可能性

　問題の中心は、サーバ側で使われている圧縮機構（zlib）の処理過程にある。クライアントから細工された要求が送信された場合、内部バッファーの扱いが不十分となり、初期化されていない領域が応答に含まれる現象が発生する。認証を経ずに成立する点が特徴であり、外部からの悪用可能性が否定できない。この挙動は設計上の想定を外れており、修正が不可避と判断されている。

　脆弱（ぜいじゃく）性が存在する製品およびバージョンは次の通りだ。

• MongoDB 8.2.0から8.2.2までのバージョン
• MongoDB 8.0.0から8.0.16までのバージョン
• MongoDB 7.0.0から7.0.26までのバージョン
• MongoDB 6.0.0から6.0.26までのバージョン
• MongoDB 5.0.0から5.0.31までのバージョン
• MongoDB 4.4.0から4.4.29までのバージョン
• 全てのMongoDB Server v4.2バージョン
• 全てのMongoDB Server v4.0バージョン
• 全てのMongoDB Server v3.6バージョン

　影響範囲は広く、比較的新しい系列から過去の長期提供版まで含まれている。複数のメジャー系統にまたがり、一定期間内に提供されたリリースが対象となる。既に保守が終了している古い系統についても影響が確認されており、運用環境によっては注意が必要となる。

　脆弱性が修正された製品およびバージョンは次の通りだ。

• MongoDB 4.4.30
• MongoDB 5.0.32
• MongoDB 6.0.27
• MongoDB 7.0.28
• MongoDB 8.0.17
• MongoDB 8.2.3

　修正版において、問題となっていたバッファー管理が見直され、不要な領域が外部に露出しないよう対策が施されている。互換性への影響はなく、既存の構成を大きく変えずに導入できるとされる。安定運用を維持する観点からも、速やかな更新が望ましい。

　更新が難しい環境用には暫定的な対処方法も示されている。対象となる圧縮方式を設定から除外することで、問題が発生する経路を遮断できる。代替手段として別の圧縮方式や無効化設定が例示されており、一定のリスク低減が可能となる。ただし根本的な解決ではないため、恒久対応とは位置付けられていない。

　今回の対応は、サーバ内部の低水準処理が全体の安全性に大きく影響することをあらためて示す事例だ。通信や圧縮といった基盤機能であっても、細部の実装が脆弱性につながり得る。提供元は今後も品質管理を強化するとしており、利用者側も更新情報の継続的な確認が求められる。