物聯網搜索引擎Shodan的創始人約翰·馬瑟利聲稱,由于流行數據庫軟件MongoDB的不安全配置和一些未打補丁的版本,導致系統管理員暴露了595.2T的數據。
1T=1024G
eBay、Foursquare,以及《紐約時報》均為開源數據庫MongoDB的大用戶,MongoDB是一款非關系型(NoSQL)數據庫。馬瑟利表示,將近3萬個數據庫由于使用未綁定本地主機的舊版本而暴露。
總共達595.2TB的數據暴露在互聯網上,可無需任何驗證地公開訪問。
MongoDB最近于4月28日發布了一個維護性的版本2.4.14,默認仍然在0.0.0.0打開端口監聽。安全人員羅曼·史戴曼早在2012年2月就指出,MongoDB存在無需認證高危漏洞。史戴曼指出,有漏洞的版本并沒有在配置文件mongodb.conf中設置綁定本機IP,即"bind_ip 127.0.0.1"。
馬瑟利表示,2.6版本的數據庫實例可能也受此漏洞影響。他指出,大多數暴露的數據庫實例運行在云服務器上,包括數字海洋、亞馬遜、Linode和OVH,這是一個云實例比數據中心主機更容易有漏洞的趨勢。
“我覺得云鏡像并不常更新,因此不安全的版本和早先部署的舊版本就沒有了安全保證。”
京公網安備 11010502049343號