MongoDBのアップデート、公開後も多くの組織で脆弱性放置

　

　ビッグデータ分析などの用途で普及が加速しているNoSQL型データベースのMongoDBについて、多くの組織が最新のパッチを適用せず、脆弱性を放置したままの状態になっているという。最近発覚した脆弱性を突く攻撃の標的にされる恐れもあり、セキュリティ企業Fortinetが対応を呼び掛けている。
　
　　Fortinetによると、同社の研究チームはリモートでデータベースアプリケーションのクラッシュを誘発できるMongoDBの脆弱性を2月に発見。この問題を突いてサービス妨害（DoS）攻撃を仕掛けられることを実証した。
　
　　この脆弱性を悪用するためには、MongoDBのコマンドラインにリモートからアクセスする必要がある。しかし、MongoDBのデフォルトでは認証を要求していないため、認証を設定しなければ攻撃が通用してしまうという。
　
　　脆弱性は古いPCREライブラリに起因しており、MongoDBは3月17日にリリースした最新版のバージョン3.01と2.6.9で、問題のライブラリを更新して脆弱性に対処した。
　
　　ところが多くの組織では依然としてMongoDBを更新しないまま古いバージョンを使い続けているとFortinetは指摘し、「ユーザーや管理者はアップグレードの提供に対して特に気を配る必要がある」と呼び掛けている。