Statement zu MongoDB CVE "MongoBleed"

Allgemein
1

Liebe Kundinnen und Kunden,

Das BSI warnt vor einer Schwachstelle in der im neo42 Management Service genutzten MongoDB Version:
Warn- und Informationsdienst - Sicherheitshinweis

Die nächste Veröffentlichung des Management Service wird eine aktualisierte Version enthalten.

Wir sehen das genannte CVE in unserem Kontext als unkritisch an, möchten Ihnen aber dennoch unkompliziert ermöglichen, die aktuell verwendete Version zu aktualisieren, um etwaige Sicherheitsscanner und Prüfungen zufrieden zu stellen.

Aus diesem Grund haben wir das folgende Vorgehen entwickelt:

  1. Erstellen Sie ein aktuelles DB Backup über das Server Configurator Tray Icon auf dem MMS-Server mit der rechten Maustaste → Tools → MongoDB Backup starten
  2. Aktualisieren Sie den MMS auf die aktuelle Version 4.4.12
  3. Laden Sie die aktuelle MongoDB Version samt Update Skript herunter (enthalten ist die MongoDB 8.0.17):
    https://storage.neo42.de/api/download/public/695b8553df17928afed8bec1
  4. Entpackten Sie die Zip Datei auf den MMS-Server
  5. Führen Sie die enthaltene StartMongoDBUpdate.bat Datei mit Adminrechten aus und folgen Sie den Anweisungen im Skript
  6. Nach erneutem Start des MMS-Servers können Sie nun optional alle älteren MongoDB Versionen aus dem folgenden Pfad löschen: C:\Program Files\MongoDB\Server

Bei Fragen zu diesem Prozess wenden Sie sich bitte an neosupport@neo42.de

Ihr neo42 Team

7 „Gefällt mir“
MongoBleed - Handlungsbedarf neo42 MMS Datenbank
2

Hier noch ein paar Ergänzungen zur MongoDB im Kontext des neo42 Management Service (MMS):

  • Die von MMS gestartete MongoDB-Instanz ist per Konfiguration nur über localhost erreichbar und wird nur von MMS-Serverkomponenten angesprochen. Dadurch fallen viele der typischen „Network/Remote“-Angriffsszenarien (wie sie in allgemeinen CVSS-Bewertungen angenommen werden) in unserem Setup bereits weg.
  • Die Verbindung zwischen MMS und MongoDB ist im Default per TLS verschlüsselt, damit lokale Man-in-the-Middle verhindert werden.
  • Eine Ausnutzung der beschriebenen Schwachstelle („MongoBleed“ / CVE‑2025‑14847) wäre in unserer Standard-Architektur daher realistisch nur dann denkbar, wenn
    • das Server OS bereits kompromittiert ist (z. B. lokaler Code-Execution/Privilege Missbrauch), oder
    • andere Softwareprodukte auf dem Server eine direkte Weitergabe/Proxy-Verbindung zur von MMS gestarteten MongoDB ermöglicht (z. B. Port-Forwarding, lokale Reverse-Proxies, unsichere Sidecars, o. ä.).

Da sich Meldungen dieser Art häufen, werden wir MongoDB-Update-Skripte nichtsdestotrotz in kürzeren Zyklen bereitstellen.

1 „Gefällt mir“