MongoDB and MongoDB Server

Die Schwachstelle betrifft MongoDB Server, das Datenbanksystem von MongoDB. Sie sitzt in der Verarbeitung von Protokoll-Headern bei Zlib-komprimierten Verbindungen: In diesen Headern stehen Längenangaben, die nicht zusammenpassen. Weil der Server diese widersprüchlichen Längenfelder nicht korrekt behandelt, kann es passieren, dass beim Verarbeiten einer Anfrage mehr Daten ausgelesen werden als vorgesehen – und zwar aus nicht initialisiertem Speicher im Heap. Dieser Speicherbereich kann Reste früherer Verarbeitungsvorgänge enthalten. Ausnutzen lässt sich der Fehler aus der Ferne durch einen Client, der sich nicht anmelden muss: Ein unauthentifizierter Angreifer kann gezielt manipulierte komprimierte Anfragen senden und so an Inhalte aus dem Arbeitsspeicher des Servers gelangen, die ihm nicht zustehen. Dadurch können unbeabsichtigt vertrauliche Informationen nach außen dringen. Betroffen sind mehrere Versionsreihen des MongoDB Servers.