Abo
  • IT-Karriere:

MongoDB-Leck: Sicherheitscheck gegen Konfigurationsfehler

Der MongoDB-Hersteller hat eine übersichtliche Checkliste veröffentlicht, wie Installationen der Datenbank abgesichert werden können. Die Verantwortung für die jüngst entdeckten Datenlecks will er aber nicht übernehmen.

Artikel veröffentlicht am ,
Mit Sicherheitschecks sollen Datenbankinstallationen von MongoDB abgesichert werden können.
Mit Sicherheitschecks sollen Datenbankinstallationen von MongoDB abgesichert werden können. (Bild: MongoDB)

Nach den jüngst gemeldeten Datenlecks in MongoDB hat jetzt der Hersteller reagiert und einen Sicherheitscheck für seine Datenbank veröffentlicht. Mit ihm können Benutzer künftig überprüfen, ob ihre Installation der NoSQL-Datenbank sicher ist. Eine Verantwortung für die Datenlecks lehnt der Hersteller jedoch kategorisch ab.

Stellenmarkt
  1. Universitätsklinikum Augsburg, Augsburg
  2. Haufe Group, Freiburg im Breisgau

"Da es in Teilen der Presse missverständlich wiedergegeben wurde, möchten wir noch einmal darauf hinweisen, dass für die ungesicherten Datenbanken nicht MongoDB Inc. verantwortlich ist, sondern Betreiber der Open Source Software MongoDB, die diese falsch konfiguriert haben", heißt es auf der Webseite des Unternehmens. Außerdem könne der Datenbankhersteller aus Datenschutzgründen einzelne Betreiber nicht identifizieren und ausschließen, dass diese betroffen seien. Das Unternehmen habe aber das CERT und das BSI informiert.

Falsch gesetzte Bind-Adresse

Laut MongoDB hat ein Konfigurationsfehler dazu geführt, dass die Konfigurationsoberfläche der betroffenen Installationen über das Internet erreichbar war. Bei der Installation sei das nicht möglich, da standardmäßig localhost als Bind-Adresse und auch die Verwaltungsoberfläche an den lokalen Rechner gebunden ist. Zumindest unter Ubuntu ist das tatsächlich der Fall.

Zu den Ratschlägen, die der Datenbankhersteller veröffentlicht hat, gehört die Konfiguration von Benachrichtigungen in der Verwaltungskonsole. So erhält der Anwender einen Warnhinweis, wenn die Datenbank vom Internet aus erreichbar ist. Weitere Schutzmaßnahmen sind eine Verschlüsselung der Daten und das korrekte Setzen von Benutzerrechten. Der Link zu dem Sicherheitscheck weist auf das Online-Handbuch der Datenbank.

Im Zuge einer Untersuchung hatten Studenten am Kompetenzzentrum für IT-Sicherheit (CISPA) in Saarbrücken nach eigenen Angaben weltweit mehrere Tausend offene MongoDB-Konfigurationen entdeckt. Sie suchten nach offenen Ports. Unter den falsch konfigurierten Datenbankinstallationen soll sich auch ein französisches Telekommunikationsunternehmen befinden. Die Studenten hätten sich so Zugriff auf mehrere Millionen Kundendaten verschaffen können.



Anzeige
Hardware-Angebote
  1. 259€ + Versand oder kostenlose Marktabholung (aktuell günstigste GTX 1070 Mini)
  2. täglich neue Deals bei Alternate.de
  3. (reduzierte Überstände, Restposten & Co.)
  4. 299,00€

Slomo97 18. Feb 2015

Oder anders gesagt: "NoSQL & Big Data - Software von Idioten für Idioten" Da wird schnell...

foobarJim 17. Feb 2015

Jein. Per Default ist die mongodb nur an 127.0.0.1 gebunden. Aber es gibt keine...


Folgen Sie uns
       


iPad Mini (2019) - Fazit

Nach vier Jahren hat Apple ein neues iPad Mini vorgestellt. Das neue Modell hat wieder einen 7,9 Zoll großen Bildschirm und unterstützt dieses Mal auch den Apple Pencil.

iPad Mini (2019) - Fazit Video aufrufen
Sicherheitslücken: Zombieload in Intel-Prozessoren
Sicherheitslücken
Zombieload in Intel-Prozessoren

Forscher haben weitere Seitenkanalangriffe auf Intel-Prozessoren entdeckt, die sie Microarchitectural Data Sampling alias Zombieload nennen. Der Hersteller wusste davon und reagiert mit CPU-Revisionen. Apple rät dazu, Hyperthreading abzuschalten - was 40 Prozent Performance kosten kann.
Ein Bericht von Marc Sauter und Sebastian Grüner

  1. Open-Source Technology Summit Intel will moderne Firmware und Rust-VMM für Server
  2. Ice Lake plus Xe-GPGPU Intel erläutert 10-nm- und 7-nm-Zukunft
  3. GPU-Architektur Intels Xe beschleunigt Raytracing in Hardware

Strom-Boje Mittelrhein: Schwimmende Kraftwerke liefern Strom aus dem Rhein
Strom-Boje Mittelrhein
Schwimmende Kraftwerke liefern Strom aus dem Rhein

Ein Unternehmen aus Bingen will die Strömung des Rheins nutzen, um elektrischen Strom zu gewinnen. Es installiert 16 schwimmende Kraftwerke in der Nähe des bekannten Loreley-Felsens.

  1. Speicherung von Überschussstrom Wasserstoff soll bei Engpässen helfen
  2. Energiewende DLR-Forscher bauen Kohlekraftwerke zu Stromspeichern um
  3. Erneuerbare Energien Wellenkraft als Konzentrat

Recycling: Die Plastikfischer
Recycling
Die Plastikfischer

Millionen Tonnen Kunststoff landen jedes Jahr im Meer. Müllschlucker, die das Material einsammeln, sind bislang wenig erfolgreich. Eine schwimmende Recycling-Fabrik, die die wichtigsten Häfen anläuft, könnte helfen, das Problem zu lösen.
Ein Bericht von Daniel Hautmann

  1. Elektroautos Audi verbündet sich mit Partner für Akkurecycling
  2. Urban Mining Wie aus alten Platinen wieder Kupfer wird

    •  /