MongoDB 任意代码执行漏洞(CVE-2013-4142)

漏洞版本:

MongoDB 2.4.0-2.4.4

漏洞描述:

CVE ID:CVE-2013-4142

MongoDB是一个高性能，开源，无模式的文档型数据库，是当前NoSql数据库中比较热门的一种

MongoDB "mongo::mongoFind()"函数(src/mongo/scripting/v8_db.cpp)在解析规则表达式时存在一个安全漏洞，允许对MongoDB数据库进行读写访问的用户执行任意代码，拥有只读访问权限的用户可使数据库崩溃。目前还不确定是否是2.2.3版本引入使用的V8 JavaScript引擎而引起的问题

<* 参考

http://blog.scrt.ch/2013/06/04/mongodb-rce-by-databasespraying/
https://jira.mongodb.org/browse/SERVER-9878
http://www.secunia.com/advisories/54170/

*>

安全建议:

厂商解决方案

MongoDB 2.4.5或2.5.1已经修复此漏洞，建议用户下载更新：
http://www.mongodb.org

相关阅读:
Eclipse汉化
Sublime Text 3 插件安装
HTML5中canvas的save和restore方法
No module ata_piix found的解决方法
在虚拟机和主机之间共享文件夹
C语言：文件操作
ubuntu下的第一个脚本file.sh
解析java源文件
Compile Java Codes in Linux Shell instead of Ant Script
Eclipse的XML编辑器解决方案

原文地址：https://www.cnblogs.com/security4399/p/3218058.html