Abo
  • Services:

MongoDB-Leck: Sicherheitscheck gegen Konfigurationsfehler

Der MongoDB-Hersteller hat eine übersichtliche Checkliste veröffentlicht, wie Installationen der Datenbank abgesichert werden können. Die Verantwortung für die jüngst entdeckten Datenlecks will er aber nicht übernehmen.

Artikel veröffentlicht am ,
Mit Sicherheitschecks sollen Datenbankinstallationen von MongoDB abgesichert werden können.
Mit Sicherheitschecks sollen Datenbankinstallationen von MongoDB abgesichert werden können. (Bild: MongoDB)

Nach den jüngst gemeldeten Datenlecks in MongoDB hat jetzt der Hersteller reagiert und einen Sicherheitscheck für seine Datenbank veröffentlicht. Mit ihm können Benutzer künftig überprüfen, ob ihre Installation der NoSQL-Datenbank sicher ist. Eine Verantwortung für die Datenlecks lehnt der Hersteller jedoch kategorisch ab.

Stellenmarkt
  1. Bosch Gruppe, Abstatt
  2. Rodenstock GmbH, München

"Da es in Teilen der Presse missverständlich wiedergegeben wurde, möchten wir noch einmal darauf hinweisen, dass für die ungesicherten Datenbanken nicht MongoDB Inc. verantwortlich ist, sondern Betreiber der Open Source Software MongoDB, die diese falsch konfiguriert haben", heißt es auf der Webseite des Unternehmens. Außerdem könne der Datenbankhersteller aus Datenschutzgründen einzelne Betreiber nicht identifizieren und ausschließen, dass diese betroffen seien. Das Unternehmen habe aber das CERT und das BSI informiert.

Falsch gesetzte Bind-Adresse

Laut MongoDB hat ein Konfigurationsfehler dazu geführt, dass die Konfigurationsoberfläche der betroffenen Installationen über das Internet erreichbar war. Bei der Installation sei das nicht möglich, da standardmäßig localhost als Bind-Adresse und auch die Verwaltungsoberfläche an den lokalen Rechner gebunden ist. Zumindest unter Ubuntu ist das tatsächlich der Fall.

Zu den Ratschlägen, die der Datenbankhersteller veröffentlicht hat, gehört die Konfiguration von Benachrichtigungen in der Verwaltungskonsole. So erhält der Anwender einen Warnhinweis, wenn die Datenbank vom Internet aus erreichbar ist. Weitere Schutzmaßnahmen sind eine Verschlüsselung der Daten und das korrekte Setzen von Benutzerrechten. Der Link zu dem Sicherheitscheck weist auf das Online-Handbuch der Datenbank.

Im Zuge einer Untersuchung hatten Studenten am Kompetenzzentrum für IT-Sicherheit (CISPA) in Saarbrücken nach eigenen Angaben weltweit mehrere Tausend offene MongoDB-Konfigurationen entdeckt. Sie suchten nach offenen Ports. Unter den falsch konfigurierten Datenbankinstallationen soll sich auch ein französisches Telekommunikationsunternehmen befinden. Die Studenten hätten sich so Zugriff auf mehrere Millionen Kundendaten verschaffen können.



Anzeige
Blu-ray-Angebote
  1. 34,99€

Slomo97 18. Feb 2015

Oder anders gesagt: "NoSQL & Big Data - Software von Idioten für Idioten" Da wird schnell...

foobarJim 17. Feb 2015

Jein. Per Default ist die mongodb nur an 127.0.0.1 gebunden. Aber es gibt keine...


Folgen Sie uns
       


Two Point Hospital - Golem.de live

Dr. Dr. Golem meldet sich zum Dienst und muss im Livestream unfassbar viele depressive Clowns heilen, nein - nicht die im Chat.

Two Point Hospital - Golem.de live Video aufrufen
SpaceX: Milliardär will Künstler mit zum Mond nehmen
SpaceX
Milliardär will Künstler mit zum Mond nehmen

Ein japanischer Milliardär ist der mysteriöse erste Kunde von SpaceX, der um den Mond fliegen will. Er will eine Gruppe von Künstlern zu dem Flug einladen. Die Pläne für das Raumschiff stehen kurz vor der Fertigstellung.
Von Frank Wunderlich-Pfeiffer

  1. Mondwettbewerb Niemand gewinnt den Google Lunar X-Prize

Segelflug: Die Höhenflieger
Segelflug
Die Höhenflieger

In einem Experimental-Segelflugzeug von Airbus wollen Flugenthusiasten auf gigantischen Luftwirbeln am Rande der Antarktis fast 30 Kilometer hoch aufsteigen - ganz ohne Motor. An Bord sind Messinstrumente, die neue und unverfälschte Daten für die Klimaforschung liefern.
Ein Bericht von Daniel Hautmann

  1. Luftfahrt Nasa testet leise Überschallflüge
  2. Low-Boom Flight Demonstrator Lockheed baut leises Überschallflugzeug
  3. Elektroflieger Norwegen will elektrisch fliegen

Lenovo Thinkpad T480s im Test: Das trotzdem beste Business-Notebook
Lenovo Thinkpad T480s im Test
Das trotzdem beste Business-Notebook

Mit dem Thinkpad T480s verkauft Lenovo ein exzellentes 14-Zoll-Business-Notebook. Anschlüsse und Eingabegeräte überzeugen uns - leider ist aber die CPU konservativ eingestellt und ein gutes Display kostet extra.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Thinkpad E480/E485 im Test AMD gegen Intel in Lenovos 14-Zoll-Notebook
  2. Lenovo Das Thinkpad P1 ist das X1 Carbon als Workstation
  3. Thinkpad Ultra Docking Station im Test Das USB-Typ-C-Dock mit robuster Mechanik

    •  /