Zum Hauptinhalt gehen

Neueste Informationen zur MongoDB Server-Sicherheitslücke CVE-2025-14847 in VertiGIS Studio-Produkten

Aktualisiert

VertiGIS verwendet diesen Artikel, um spezifische Informationen über die kritische Sicherheitslücke CVE-2025-14847, die MongoDB Server-Komponenten betrifft, am 19. Dezember 2025 veröffentlicht wurde, und deren Auswirkungen auf VertiGIS Studio-Produkte bereitzustellen. 
Dieser Artikel wird aktualisiert, sobald neue Informationen verfügbar sind. 

Das Studio-Team hat unsere Untersuchung zu den Auswirkungen dieser Sicherheitslücke abgeschlossen.

Die folgenden Produkte verwenden keine MongoDB Server-Komponenten und sind nicht betroffen:

  • VertiGIS Studio Web
  • VertiGIS Studio Workflow
  • VertiGIS Studio Access Control
  • VertiGIS Studio Item Manager
  • VertiGIS Inline
  • VertiGIS Studio Printing
  • VertiGIS Studio Reporting
  • VertiGIS Studio Mobile

Die folgenden Produkte enthalten MongoDB Server-Komponenten. Hier ist eine Übersicht über die Auswirkungen und empfohlene Maßnahmen:

VertiGIS Studio Analytics

Auswirkung: Gering
MongoDB in Studio Analytics ist auf lokale Verbindungen beschränkt, was die Angriffsfläche erheblich reduziert. Sensible Daten wie verschlüsselte Zugangsdaten und Sicherheitsschlüssel werden nicht in MongoDB gespeichert, und unsere APIs sind so konzipiert, dass sie über localhost betrieben werden. Wir werden MongoDB im nächsten Release von Studio Analytics (Version 1.7) aktualisieren.

VertiGIS Studio Search

Auswirkung: Gering
MongoDB in Studio Search ist standardmäßig nicht mit dem Internet verbunden und akzeptiert nur lokale Verbindungen. Der Search-Dienst verwendet den offiziellen MongoDB Java-Treiber, der die Kommunikation sicher verwaltet und eine Manipulation des Protokolls verhindert.

Die Schwachstelle (MongoBleed) bezieht sich auf zlib-Komprimierung in der Nachrichtenverarbeitung von MongoDB. Während zlib standardmäßig aktiviert ist, kann es in der MongoDB-Konfiguration deaktiviert werden.

Zusätzliche Empfehlung:
Stellen Sie sicher, dass der Standardport von MongoDB (27017) nicht von außerhalb Ihres Netzwerks zugänglich ist. Firewalls oder Sicherheitsgruppen sollten den Zugriff auf nur notwendige Ports beschränken.

Workaround: zlib-Komprimierung deaktivieren

So deaktivieren Sie die zlib-Komprimierung bei Ihrer lokalen Studio Search-Installation:

  1. Verbinden Sie sich per Remote Desktop auf den Server, auf dem Studio Search läuft. 
  2. Öffnen Sie die Windows-Eingabeaufforderung als Administrator und navigieren Sie zu:
    C:\Program Files\VertiGIS\VertiGIS Studio Search\search\Engine\bin 
  3. Führen Sie stop.cmd aus. 
  4. Laden Sie die an diesen Artikel angehängte Datei mongodb.conf herunter und navigieren Sie zum Dateiverzeichnis:
    C:\Program Files\VertiGIS\VertiGIS Studio Search\search\Engine\bin\mongodb\bin 
  5. Sichern Sie Ihre bestehende mongodb.conf und ersetzen Sie sie durch die heruntergeladene Datei.
  6. Kehren Sie zum CMD-Fenster zurück und führen Sie start.cmd aus. 
  7. Überprüfen Sie Ihre Suchindizes im Studio Search Designer.
     

Hinweis: Diese Lösung gilt nur für lokale Installationen; SaaS-Bereitstellungen sind nicht betroffen. Wir planen, eine aktualisierte MongoDB-Version in einer zukünftigen Studio Search-Version bereitzustellen. In der Zwischenzeit mindert die empfohlene Vorgehensweise – Deaktivierung der zlib-Komprimierung und Überprüfung der Portbeschränkungen – das potenzielle Risiko wirksam.

 

 

Verwandte Beiträge

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.