低危 MongoDB up to 2.5.1 NULL Pointer Dereference 拒绝服务漏洞

CVE编号

CVE-2013-2132

利用情况

暂无

补丁情况

官方补丁

披露时间

2013-08-16

漏洞描述

MongoDB是一个基于分布式文件存储的数据库。由C++语言编写。 在解析非法DBref记录时MongoDB存在一个安全漏洞，允许远程攻击者利用漏洞触发一个空指针引用错误，可使应用程序崩溃。

解决建议

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：https://github.com/mongodb/mongo-python-driver/commit/a060c15ef87e0f0e72974c7c0e57fe811bbd06a2

参考链接
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=710597
http://lists.opensuse.org/opensuse-updates/2013-06/msg00180.html
http://seclists.org/oss-sec/2013/q2/447
http://ubuntu.com/usn/usn-1897-1
http://www.debian.org/security/2013/dsa-2705
http://www.osvdb.org/93804
http://www.securityfocus.com/bid/60252
https://github.com/mongodb/mongo-python-driver/commit/a060c15ef87e0f0e72974c7...
https://jira.mongodb.org/browse/PYTHON-532

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	mongodb	mongodb	*		Up to (including) 2.5.1
	运行在以下环境
	应用	mongodb	mongodb	1.2.0	-
	运行在以下环境
	应用	mongodb	mongodb	1.4.0	-
	运行在以下环境
	应用	mongodb	mongodb	1.6.0	-
	运行在以下环境
	应用	mongodb	mongodb	1.8.0	-
	运行在以下环境
	应用	mongodb	mongodb	2.0.0	-
	运行在以下环境
	应用	mongodb	mongodb	2.2.0	-
	运行在以下环境
	应用	mongodb	mongodb	2.4.0	-
	运行在以下环境
	应用	mongodb	mongodb	2.4.1	-
	运行在以下环境
	应用	mongodb	mongodb	2.4.2	-
	运行在以下环境
	应用	mongodb	mongodb	2.4.3	-
	运行在以下环境
	应用	mongodb	mongodb	2.4.4	-
	运行在以下环境
	应用	mongodb	mongodb	2.4.5	-
	运行在以下环境
	应用	mongodb	mongodb	2.5.0	-
	运行在以下环境
	系统	debian_10	pymongo	*		Up to (excluding) 2.5.2-1
	运行在以下环境
	系统	debian_11	pymongo	*		Up to (excluding) 2.5.2-1
	运行在以下环境
	系统	debian_12	pymongo	*		Up to (excluding) 2.5.2-1
	运行在以下环境
	系统	debian_7	pymongo	*		Up to (excluding) 2.2-4+deb7u1
	运行在以下环境
	系统	debian_sid	pymongo	*		Up to (excluding) 2.5.2-1
	运行在以下环境
	系统	ubuntu_12.04.5_lts	pymongo	*		Up to (excluding) 2.1-1ubuntu0.1

阿里云评分 2.3

• 攻击路径 本地
• 攻击复杂度 困难
• 权限要求 普通权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 -

CWE-ID	漏洞类型
NVD-CWE-Other

Exp相关链接

- avd.aliyun.com