MongoDB: Exploit im Netz, Metasploit-Modul in der Mache!

Dieses Thema im Forum "PC&Internet News" wurde erstellt von DocKugelfisch, 25. März 2013.

  1. DocKugelfisch
    Offline

    DocKugelfisch Moderator Digital Eliteboard Team

    Registriert:
    9. Mai 2008
    Beiträge:
    3.216
    Zustimmungen:
    2.741
    Punkte für Erfolge:
    113
    Ort:
    Астана
    Für die Open-Source-Datenbank-Software Du mußt dich Registrieren um diesen Link sehen zu können. Hier klicken und kostenlos Registrieren der Firma 10gen ist ein Du mußt dich Registrieren um diesen Link sehen zu können. Hier klicken und kostenlos Registrieren worden, der von dem Entdecker der Lücke (mit dem Namen "Angelo2" beziehungsweise "Agixid") bald um ein Metasploit-Modul ergänzt werden soll. Der Exploit betrifft momentan 32-Bit-Systeme mit der Version 2.2.3. Das ist ein zwar schon etwas älterer, aber noch häufig eingesetzer Release-Zweig. Aktuell ist der 2.4er-Zweig.
    Bereits in Version 2.4.0 hatten die Entwickler die für die Lücke verantwortliche JavaScript-Engine Du mußt dich Registrieren um diesen Link sehen zu können. Hier klicken und kostenlos Registrieren mit Du mußt dich Registrieren um diesen Link sehen zu können. Hier klicken und kostenlos Registrieren Du mußt dich Registrieren um diesen Link sehen zu können. Hier klicken und kostenlos Registrieren, was den aktuellen Exploit unmöglich macht. Die neueste Version ist Du mußt dich Registrieren um diesen Link sehen zu können. Hier klicken und kostenlos Registrieren. Wer also von 2.2.3 wechseln möchte, sollte diese Version anvisieren.
    Wie der Hacker schreibt, wurde die Schwachstelle in 2.2.3 schon vor drei Wochen an die 10gen-Entwickler gemeldet; diese reagierten bisher aber nicht direkt auf die Schwachstelle. Der Exploit von Angelo2 nutzt die default JavaScript-Engine Spidermonkey aus, um Schadcode über die NativeHelper-Funktion einzuschleusen und so einen serverseitigen Buffer-Overflow zu erzeugen. Durch die Native-Funktion wird ein JavaScript-Objekt ohne Prüfung abgerufen.
    Neben der Ankündigung eines Metasploit-Moduls hat der Hacker Hinweise darauf gegeben, dass sobald wie möglich auch ein Exploit für 64bit-Systeme entwickelt werden soll.

    heise.de
     
    #1

Diese Seite empfehlen

OK Mehr information

Diese Seite verwendet Cookies. Mit Ihrem Klick auf OK stimmen Sie der Verwendung von Cookies zu. Andernfalls ist die Funktionalität dieser Website beschränkt.