Alertas de seguridad

vulnerabilidad en MongoDB

Se han detectado problemas de seguridad en versiones específicas del controlador Java que admiten el cifrado de nivel de campo del lado del cliente (CSFLE) no realizan la verificación correcta del nombre de host en el certificado del servidor KMS.

MongoDB-01

Esta vulnerabilidad en combinación con un ataque MITM activo de posición de red privilegiada podría resultar en la interceptación del tráfico entre el controlador de Java y el servicio KMS haciendo que el cifrado de nivel de campo sea ineficaz. Este problema se descubrió durante las pruebas internas y afecta a todas las versiones del controlador Java que admiten CSFLE. Los controladores Java async, Scala y flujos reactivos no se ven afectados.

Esta vulnerabilidad no afecta las cargas útiles del tráfico del controlador con los servicios clave compatibles con CSFLE que se originan en las aplicaciones que residen dentro de los tejidos de red de AWS, GCP y Azure debido a los controles de compensación en estos entornos. Este problema no afecta las cargas de trabajo de los controladores que no utilizan el cifrado de nivel de campo.

La vulnerabilidad común detectada es la CWE-295: Validación de certificado incorrecta. Cuando un certificado no es válido o es malintencionado, puede permitir que un atacante falsifique una entidad de confianza interfiriendo en la ruta de comunicación entre el host y el cliente. El software puede conectarse a un host malintencionado creyendo que es un host confiable, o el software puede ser engañado para que acepte datos falsificados que parecen provenir de un host confiable.

 

PRODUCTOS AFECTADOS

  • mongo-java-driver, mongodb-driver, mongodb-driver-sync, mongodb-driver-legacy: 3.11.0 - 3.11.2, 3.12.0 - 3.12.7
  • mongodb-driver-sync, mongodb-driver-legacy: 4.0.0 - 4.0.5, 4.1.0 - 4.1.1, 4.2.0

 

VERSIONES SEGURAS

  • mongo-java-driver, mongodb-driver, mongodb-driver-sync, mongodb-driver-legacy: 3.11.3, 3.12.8.
  • mongodb-driver-sync, mongodb-driver-legacy: 4.0.6, 4.1.2, 4.2.1

A menos que se indique explícitamente que no están afectados, todas las versiones anteriores de paquetes en cualquier flujo de actualización menor de un producto enumerado aquí deben considerarse vulnerables, aunque es posible que no hayan sido objeto de un análisis completo.