Wenige Tage nachdem das Sicherheitsteam der NoSQL-Datenbank-Software MongoDB eine schwerwiegende Sicherheitslücke eingestanden hat und noch während ein erheblicher Teil der Welt die Feiertage genießt, wurden Details und ein Exploit veröffentlicht, die Angriffe noch einmal deutlich erleichtern. Den Exploit hat der Technikchef der Softwarefirma Elastic „MongoBleed“ getauft und auf Github eingestellt. Laut ersten Berichten benötigt man dafür lediglich die IP-Adresse einer MongoDB-Instanz und kann verschiedene Inhalte aus dem Speicher abrufen, die im Klartext übermittelt werden. Weil er so leicht zu benutzen und MongoDB extrem weitverbreitet ist, dürfte die Lücke rasch in großem Umfang ausgenutzt werden, schreibt der Sicherheitsexperte Kevin Beaumont.

Laut den kurz vor Weihnachten veröffentlichten Details zur Lücke können Angreifer einen Fehler in der Kompressionssoftware zlib ausnutzen, um auf nicht zurückgesetzten dynamischen Arbeitsspeicher (heap memory) zuzugreifen. Darin liegen möglicherweise noch alte Daten, etwa Passwörter, Schlüssel oder andere sensible Informationen. Schon dazu hieß es, dass dafür keine Zugangsdaten und nicht einmal eine Benutzerinteraktion benötigt werden. Der jetzt verfügbare Exploit stellt das unter Beweis. Das unterstreicht die Dringlichkeit, mit der die Verantwortlichen von MongoDB-Instanzen dazu aufgerufen werden, diese zu aktualisieren.

Zahlreiche Versionen betroffen, Updates verfügbar

Die Schwachstelle betrifft die folgenden MongoDB-Server-Versionen:

MongoDB 8.2.0 bis 8.2.3
MongoDB 8.0.0 bis 8.0.16
MongoDB 7.0.0 bis 7.0.26
MongoDB 6.0.0 bis 6.0.26
MongoDB 5.0.0 bis 5.0.31
MongoDB 4.4.0 bis 4.4.29

Sowie jeweils alle

MongoDB Server v4.2 Versionen
MongoDB Server v4.0 Versionen
MongoDB Server v3.6 Versionen

Diese sind jeweils auf MongoDB 8.2.3, 8.017, 7.0.28, 6.0.27, 5.0.32 oder 4.4.30 upzugraden.

Die unter CVE-2025-14847 veröffentlichte Sicherheitslücke gilt als kritisch und hat einen CVSS-Score von 8,7. Wer nicht sofort auf eine der gepatchten Versionen upgraden kann, soll die zlib-Komprimierung auf dem MongoDB-Server deaktivieren. Das geht laut der MongoDB-Warnung, „indem man mongod oder mongos mit einer networkMessageCompressors– oder net.compression.compressors-Option startet, die zlib explizit ausschließt.“

MongoDB wird weltweit von mehr als 62.000 Kunden genutzt, im Internet lassen sich über 200.000 Instanzen finden – übr 20.000 davon in Deutschland. Das Datenbankmanagementsystem sichert Daten in BSON-Dokumenten (Binary JSON) statt wie klassische relationale SQL-Datenbanken wie MySQL oder PostgreSQL in Tabellen.

(mho)

Schleswig-Holsteins Ministerpräsident Daniel Günther warnt vor dem Einfluss sozialer Medien auf die Stimmungslage in Deutschland. „Medien lassen sich genauso wie Politiker durch soziale Medien treiben“, sagte der CDU-Politiker der Deutschen Presse-Agentur. „Vieles wird in unserem Land schnell skandalisiert und auf die Spitze getrieben.“ Das gelte auch für den Umgang mit Kanzler Friedrich Merz (CDU).

„Früher hat man am Stammtisch mal seinem Ärger Luft gemacht und sich miteinander auch mal heiß geredet, danach war es aber schnell wieder vergessen“, sagte Günther. „Heute schreiben die Menschen in den Sozialen Netzwerken alles, was ihnen gerade in den Sinn kommt und lassen teilweise ihrem Hass freien Lauf, und das bleibt dann stehen.“

Über solche Posts gebe es anschließend häufig auch einen öffentlichen Diskurs, sagte Günther. „Das zieht die Stimmung in unserem Land erheblich runter. Ich glaube, dass Medien sich davon auch treiben lassen und meinen, im Wettbewerb mit sozialen Medien nur bestehen zu können, wenn man ähnlich aufgeheizte Schlagzeilen produziert. Da liegt aber kein Segen drin.“

Nicht sofort reagieren

„Bei den ganzen Verrücktheiten in der Welt ist es klüger, diese Spirale nicht mitzumachen. Wir Politikerinnen und Politiker müssen uns da aber auch an die eigene Nase fassen“, sagte Günther. Niemand müsse auf alle Äußerungen, auch skandalisierte Aussagen der politischen Konkurrenz, sofort reagieren.

„Das hängt allerdings grundsätzlich mit der politischen Kommunikation auf Bundesebene zusammen, die ich sehr kritisch sehe“, sagte Günther. Inhalte vertraulicher Sitzungen und Gespräche würden in Berlin teils im Minutentakt presseöffentlich, noch während sie stattfänden. Das sei ein „Zusammenspiel zwischen manchen Medien und Politik, das unserem Land überhaupt nicht guttut“.

Die Skandalisierungen wirkten sich zudem negativ auf die Stimmung in Deutschland aus, so Günther. Und sie seien ein Einfallstor für die AfD, so von den aufgeregten Debatten zu profitieren. Ein erheblicher Teil des Wählerpotenzials der AfD sei auf diesen Kreislauf zurückzuführen.

(mho)

Die folgenden Vorhersagen stammen aus einem GDC-Vortrag vom März 2016, in dem Schell einige seiner 40 Prognosen überarbeitet hatte. Sie wurden für diesen Beitrag ins Deutsche übersetzt.

Prognose 1: 2016 werden VR-Brillen dauerhaft im Massenmarkt angekommen sein.

Prognose 2: Bis Ende 2017 werden acht Millionen Gaming-VR-Brillen verkauft.

Prognose 3: Auf jede Gaming-VR-Brille werden vier mobile VR-Brillen kommen.

Prognose 4: Die Verkaufszahlen von VR-Brillen werden sich jährlich verdoppeln, bis eine Marktsättigung erreicht ist.

Prognose 5: Auf der CES 2017 werden rund 50 unterschiedliche VR-Brillen zu sehen sein.

Prognose 6: Sobald Sony zehn Millionen VR-Brillen verkauft hat, wird Microsoft eine VR-Brille für die Xbox One ankündigen (vermutlich zur E3 2018).

Prognose 7: Bis 2022 wird der Großteil der VR-Umsätze auf tragbare, autarke VR-Systeme entfallen, die keine Smartphones nutzen.

Prognose 8: Bis Ende 2017 wird ein asymmetrisches Partyspiel zu den zehn erfolgreichsten VR-Spielen zählen.

Prognose 9: Madden 2018 wird eine VR-Version erhalten.

Prognose 10: Bis Ende 2018 wird ein neues, speziell für VR entwickeltes Spielegenre entstehen.

Prognose 11: Bis Ende 2017 werden die Medien mindestens einen Amoklauf auf ein VR-Spiel zurückführen.

Prognose 12: Bis Ende 2017 werden Berichte über „VR-Sucht“ regelmäßig in den Nachrichten auftauchen.

Prognose 13: Bis Ende 2018 werden mindestens drei Kinofilme erscheinen, die Ängste rund um VR thematisieren.

Prognose 14: Bis 2025 werden private VR-Heimvideos zu unseren wertvollsten Erinnerungsstücken zählen.

Prognose 15: Dokumentarfilme werden die ersten VR-Filme sein, die bedeutende Preise gewinnen.

Prognose 16: Bis 2020 wird VR-Pornografie ein Milliarden-Dollar-Geschäft sein.

Prognose 17: Bis 2020 wird es mindestens zehn Virtual-Reality-Reality-Shows geben.

Prognose 18: Dantes „Göttliche Komödie“ wird als Vorbild für gelungenes VR-Storytelling dienen.

Prognose 19: Bis Ende 2018 wird Comcast einen eigenen VR-Sender betreiben.

Prognose 20: Damit Spielfilme in VR funktionieren, müssen sie soziale Erlebnisse sein. Wie das gelingt, werden wir bis 2025 herausfinden.

Prognose 21: Bis 2025 wird der Großteil der VR-Umsätze aus sozialen Erlebnissen stammen.

Prognose 22: Bis 2018 wird eines der zehn erfolgreichsten VR-Spiele ein Tanzspiel sein.

Prognose 23: Bis 2025 wird der Markt für VR- und AR-Brettspiele ein Volumen von rund 100 Millionen Dollar erreichen.

Prognose 24: Bis Ende 2020 wird es mindestens ein VR-MMO mit mehr als einer Million Abonnenten geben.

Prognose 25: Bis Ende 2018 wird es eine führende soziale VR-Plattform geben, und sie wird nicht von etablierten Anbietern stammen.

Prognose 26: Bis 2018 werden VR-Emotes sehr populär sein und einen ziemlich albernen Namen tragen.

Prognose 27: Im Jahr 2017 wird auf jeder US-amerikanischen Staatsmesse mindestens eine VR-Attraktion zu finden sein.

Prognose 28: Bis 2016 wird es weltweit mindestens 20 VR-Achterbahnen geben.

Prognose 29: Bis 2025 wird es Bowling mit AR-Brillen geben.

Prognose 30: Bis 2025 wird der AR-Markt von sogenannten „Video-AR“-Systemen dominiert.

Prognose 31: Es wird AR-Erlebnisse geben, die mit dem Fernseher synchronisiert sind.

Prognose 32: Bis 2025 werden Vorlesungen mit Augmented Reality weit verbreitet sein.

Prognose 33: Im Jahr 2025 wird das Jagen virtueller Wesen im eigenen Zuhause vor allem Kinder begeistern.

Prognose 34: Bis 2018 werden Gamer auf schmalere Brillen oder Kontaktlinsen umsteigen.

Prognose 35: Bis 2020 werden Hardcore-VR-Gamer Brillen mit Sehstärkenlinsen nutzen.

Prognose 36: Bis 2018 werden VR-Headsets mit Eye-Tracking verfügbar sein.

Prognose 37: Bis 2020 wird Foveated Rendering umgesetzt und bis 2025 wird es nützlich sein.

Prognose 38: Bis 2025 wird es keine kabelgebundenen VR-Systeme mehr geben.

Prognose 39: Bis 2020 werden getrackte physische Objekte für VR und AR zum Standard gehören.

Prognose 40: Im Jahr 2025 werden euch Roboter in VR berühren, und es wird euch gefallen.