S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 01 mars 2021
N° CERTFR-2021-AVI-151
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans mongoDB et mongoDB Ops Manager

Gestion du document

Référence CERTFR-2021-AVI-151
Titre Multiples vulnérabilités dans mongoDB et mongoDB Ops Manager
Date de la première version01 mars 2021
Date de la dernière version01 mars 2021
Source(s) Bulletin de sécurité mongoDB du 16 février 2021
Bulletin de sécurité mongoDB JAVA-4017 du 25 février 2021
Bulletin de sécurité mongoDB NODE-3125 du 25 février 2021
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données

Systèmes affectés

  • module mongodb-client-encryption 1.2.0
  • mongoDB Ops Manager versions 4.2.x antérieures à 4.2.23
  • pilotes mongo-java-driver, mongodb-driver, mongodb-driver-sync, mongodb-driver-legacy versions 3.11.x antérieures à 3.11.3
  • pilotes mongo-java-driver, mongodb-driver, mongodb-driver-sync, mongodb-driver-legacy versions 3.12.x antérieures à 3.12.8
  • pilotes mongodb-driver-sync, mongodb-driver-legacy versions 4.0.x antérieures à 4.0.6
  • pilotes mongodb-driver-sync, mongodb-driver-legacy versions 4.1.x antérieures à 4.1.2
  • pilotes mongodb-driver-sync, mongodb-driver-legacy versions 4.2.x antérieures à 4.2.1

Résumé

De multiples vulnérabilités ont été découvertes dans mongoDB et mongoDB Ops Manager. Elles permettent à un attaquant de provoquer une atteinte à l'intégrité des données et une atteinte à la confidentialité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 01 mars 2021
    Version initiale