广受欢迎的NoSQL数据库MongoDB近日修复了一个严重并且可被远程利用的拒绝服务（DoS）漏洞。该漏洞由FortiGuard实验室研究人员于2月20日和23日发现，MongoDB官方已于3月17日发布补丁。

漏洞可造成数据库崩溃

FortiGuard实验室安全专家Samir Lakhani表示，漏洞利用方法是一个会频繁造成数据库崩溃的正则表达式，但Fortinet没有透露细节。

“一个潜在攻击者不需要身份验证或者对数据库有访问权限就能利用此漏洞，他们需要做的只是发送精心编制的数据包（即特定正则表达查询），来攻击数据库。”

有经验并且了解正则表达式的攻击者一般不会在这上面花费太多时间，特别是在检查了代码之后。

“对此漏洞进行攻击的方式好几种。最常见的是通过MongoDB网站或者客户端连接到MongoDB服务器，攻击者将一个regex字符串放进MongoDB，读取并处理它。只要这串字符看起来是在数据包里，服务器就会奔溃。”

安全建议

‍‍建议使用存在漏洞版本的（即可以不需要身份验证就能访问数据库）‍MongoDB用户立即安装最新的补丁，并设置身份验证。否则，攻击者使用Shodan查询或者浏览网页可轻松找到并攻击你的‍‍MongoDB‍‍服务器。

[参考来源threatpost，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）]