3月24日公开披露的 MongoDB 零日漏洞 (CVE-2013-1892) 已经引起了人们的关注,IT 安全和开发人员已经开始在热议这个话题。
相关链接:MongoDB 2.4.1 紧急发布
为什么这个问题会引起关注,我们认为主要原因有 3 点:
一些开发者认为类似 MongoDB 这样的 NoSQL 数据库要比关系型数据库更加安全,因为不存在 SQL 注入问题
MongoDB 的使用人数在不断的增长,越来越多的人认为它是 NoSQL 数据库的领跑者
披露的漏洞影响非常之大,而且漏洞可利用来做很多破坏性的攻击,该漏洞被披露出来几天就已经有人发布攻击脚本
关于这个问题给开发者和架构师带来最大的教训是:out-of-sight/out-of-mind 特性是此漏洞的根本原因:如果它不是一个文档,那么就不应该被访问!
而通用和强大的接口(如nativeHelper接口)就像是野兽。不管你多么自信你可以驯服它,但有被咬的时候。保护你自己的唯一方法就是将它们锁起来,除非需要的时候否则不予接触。
需要指出的是我们在二月份讨论过的 Rails YAML vulnerability 有着非常相似的原因,因为默认可以访问通用而强大的接口。
从另外一方面来说,该接口可能导致的代码执行问题由来已久,可能因为没有一个概念验证连接到它,因此没引起注意。有人可能要问还有多少没有被暴露出来的潜在问题,如果这些问题被黑客利用会导致什么严重的后果。
译者注:eye opener 是“令人惊异的” 的意思,但我发现直译更能非常形象的表达这个词的意思。
via sdelements