2 poin oleh GN⁺ 2023-12-18 | 1 komentar | Bagikan ke WhatsApp
  • MongoDB Alerts adalah hub pemberitahuan yang mengumpulkan isu integritas data, operasional, dan keamanan CVE di satu tempat, sehingga pengguna dapat memeriksa cakupan dampak per versi dan deployment MongoDB yang perlu ditangani
  • Item integritas data tahun 2026 mencakup kesalahan query rentang urutan menurun _id pada clustered collection, unique index di sharded cluster yang mengizinkan duplikasi, kekurangan migrasi pada Relational Migrator, serta read/write concern yang tidak diterapkan saat terhubung langsung ke shard
  • Dari sisi operasional, hingga April 2026, CA publik utama akan menghentikan penerbitan sertifikat TLS yang menyertakan clientAuth EKU, sehingga konfigurasi mTLS dan autentikasi X.509 pada MongoDB self-managed dapat terdampak
  • Bagian keamanan menyediakan daftar CVE berdasarkan produk untuk MongoDB Server, Compass, mongosh, driver, Ops Manager, dan lainnya dari 2019 hingga 2026
  • Praktisi perlu mencocokkan versi Server, Atlas, Relational Migrator, Compass, mongosh, dan driver per bahasa yang digunakan dengan cakupan dampaknya, lalu melakukan upgrade ke versi patch atau menerapkan konfigurasi workaround yang diumumkan

Cakupan halaman MongoDB Alerts

  • MongoDB Alerts adalah halaman yang mengumpulkan peringatan dan advis penting dari MongoDB
  • Daftar lengkap bug dan permintaan fitur dapat dilihat di MongoDB JIRA
  • Pemberitahuan baru juga tersedia melalui RSS Feed
  • Halaman ini tersusun dalam kategori berikut
    • Data Integrity Related
    • Operations Related
    • Security Related: Common Vulnerabilities and Exposures (CVEs)
    • General

Peringatan integritas data 2026

  • Query rentang urutan menurun _id pada clustered collection

    • Diumumkan pada 17 Juni 2026
    • Pada clustered collection, jika pengurutan menurun diterapkan pada field _id dan kondisi rentang berbentuk {$lt: A}, {$gt: A}, {$gte: A, $lt: B}, {$gt: A, $lte: B} digunakan, dokumen batas dapat keliru disertakan atau dikecualikan
    • Time series collection, non-clustered collection, clustered collection yang tidak menerapkan pengurutan menurun pada _id, serta kombinasi operator perbandingan dengan tipe inklusi/eksklusi yang sama tidak terdampak
    • Versi terdampak:
      • MongoDB 8.0.0–8.0.23
      • 8.2.0–8.2.9
      • 8.3.0–8.3.2
    • SERVER-121822
  • Jaminan duplikasi pada unique index sharded cluster

    • Diumumkan pada 14 Mei 2026
    • Pada sharded cluster, jika shard key sama dengan index key pattern atau merupakan strict prefix, dan unique index menggunakan non-simple collation, uniqueness antar-shard mungkin tidak ditegakkan
    • Nilai yang byte-nya berbeda tetapi dianggap sama menurut collation, seperti "YES" dan "yes", dapat dimasukkan secara independen ke shard yang berbeda
    • Kondisi masalahnya adalah adanya dua shard atau lebih, unique index dengan non-simple collation, serta shard key yang sama dengan index key pattern atau merupakan strict prefix
    • Versi terdampak:
      • 5.0.0–5.0.32
      • 6.0.0–6.0.28
      • 7.0.0–7.0.31
      • 8.0.0–8.0.20
      • 8.2.0–8.2.6
    • SERVER-85346
  • Kekurangan migrasi Relational Migrator

    • Diumumkan pada 14 Mei 2026
    • Pengguna yang bermigrasi dengan Relational Migrator dapat mengalami dokumen hilang pada sharded cluster migration ketika terdapat embedded document atau embedded array
    • Cyclic mapping dengan foreign key yang dikecualikan di bawah embedded array, kolom source table yang digunakan pada beberapa relasi composite foreign key, dan pemilihan field name yang bertabrakan dapat membuat field hilang, tidak konsisten, atau salah nama
    • Produk terdampak adalah MongoDB Relational Migrator sebelum 1.16.0
    • SERVER-126522
  • Read/write concern tidak diterapkan saat terhubung langsung ke shard

    • Diumumkan pada 14 Mei 2026
    • Jika terhubung langsung ke shard node tanpa melalui mongos, cluster-wide default read/write concern mungkin tidak diterapkan
    • Dalam kasus ini, write dapat dijalankan dengan {w: 1} alih-alih concern yang dikonfigurasi, dan jika terjadi rollback, acknowledged write dapat hilang
    • Untuk sharded cluster, koneksi harus dilakukan hanya melalui mongos
    • Jika koneksi langsung ke shard diperlukan, segera upgrade ke versi patch atau tentukan read/write concern eksplisit seperti {w: "majority"} pada connection string
    • Versi terdampak:
      • 5.0.0–5.0.32
      • 6.0.0–6.0.28
      • 7.0.0–7.0.31
      • 8.0.0–8.0.19
      • 8.2.0–8.2.3
    • SERVER-111031

Pola berulang dalam peringatan integritas data terbaru

  • Sharding dan migration

    • Item Maret 2026 membahas risiko kehilangan data selama chunk migration pada sharded collection yang memiliki compound wildcard index yang mencakup shard key prefix
    • Pada November 2025, tercatat masalah cross-shard transaction yang dapat ter-commit sebagian dalam kondisi failover tertentu
    • Pada April 2024, termasuk masalah sharded multi-document transaction yang dapat mengembalikan data yang salah atau melewatkan write
  • Time series collection

    • Item November 2025 memberitahukan bahwa 2dsphere index key untuk metric data pada time series collection tidak dibuat atau disisipkan, sehingga geospatial query dapat mengembalikan hasil yang tidak lengkap
    • Item Agustus 2025 membahas masalah ketika pola input metric double-precision tertentu dapat menyebabkan kerusakan data
    • Item Januari 2025 mencakup kemungkinan kehilangan data time series collection pada kombinasi insert bersamaan ordered: false dan retryable writes
  • Akurasi hasil query

    • Pada Maret 2026, tercatat masalah aggregation query dengan $group tepat setelah $sort yang menggunakan accumulator $top atau $bottom dapat mengembalikan hasil yang salah
    • Pada Februari 2026, SQL interface dapat mengembalikan hasil yang salah ketika salah satu kondisi OR pada klausa WHERE bernilai UNKNOWN dan yang lain bernilai TRUE
    • Pada Juni 2025, query dengan $elemMatch dan predicate string dapat menggunakan index dengan collation yang tidak cocok, sehingga melewatkan dokumen yang semestinya disertakan

Peringatan terkait operasional

  • Perubahan kebijakan clientAuth EKU pada CA publik

    • Diumumkan pada 22 Januari 2026
    • Certificate Authority publik utama menerapkan persyaratan kebijakan untuk menghentikan penerbitan sertifikat TLS yang menyertakan Extended Key Usage client authentication(clientAuth) hingga April 2026
    • Perubahan ini hanya berdampak pada deployment MongoDB self-managed yang menggunakan sertifikat public CA untuk mutual TLS(mTLS) atau autentikasi X.509
    • Pelanggan self-managed harus bermigrasi ke private PKI infrastructure atau mengubah konfigurasi MongoDB sebelum tenggat April–Mei 2026
    • Pelanggan Atlas tidak terdampak
    • Cakupan dampak:
      • X.509 Cluster Authentication
      • X.509 Client Authentication
      • mTLS yang menggunakan sertifikat public CA dari Google Trust Services, Let’s Encrypt, DigiCert, Sectigo
    • Pemberitahuan terkait
  • mongosh dan autocomplete Node.js REPL

    • Diumumkan pada 30 September 2025
    • Third-party distribution seperti MongoDB Shell yang diinstal melalui Homebrew atau npm package manager dapat terdampak bug Node.js REPL
    • Side effect yang tidak diinginkan dapat terjadi saat autocomplete
    • Cakupan dampaknya adalah mongosh sebelum 2.5.8 yang digunakan bersama Node.js 20.19.5–24.7.0
    • MONGOSH-2635
  • FIPS mode dan OpenSSL 3

    • Diumumkan pada 11 September 2025
    • MongoDB dengan konfigurasi FIPS mode di Linux yang menggunakan OpenSSL 3 untuk cryptographic operation dapat menggunakan cryptographic algorithm dari non-FIPS provider
    • Dalam kasus ini, client dapat terhubung melalui TLS ke MongoDB FIPS-mode dengan cryptographic algorithm yang tidak FIPS-compliant
    • Versi terdampak:
      • 6.0.0–6.0.25
      • 7.0.0–7.0.22
      • 8.0.0–8.0.12
    • SERVER-109268

Pemberitahuan keamanan CVE 2026

  • Kerentanan MongoDB Server

    • CVE-2026-11933 pada 12 Juni 2026 adalah kerentanan post-authentication use-after-free pada konversi BSON-to-array JavaScript sisi server, dengan skor 8.8
    • Versi terdampak adalah 8.3.3 dan sebelumnya, 8.2.10 dan sebelumnya, 8.0.25 dan sebelumnya, 7.0.36 dan sebelumnya, 6.0.28 dan sebelumnya, 5.0.33 dan sebelumnya, 4.4.30 dan sebelumnya
    • SERVER-128125
  • Pre-authentication denial of service

    • CVE-2026-9740 dapat menyebabkan pre-auth stack overflow akibat unbounded recursion pada BSONColumn interleaved-reference, dengan skor 8.7
    • Versi terdampak adalah sebelum 8.3.3, sebelum 8.2.10, sebelum 8.0.24, sebelum 7.0.35
    • SERVER-125063
    • CVE-2026-25611 adalah pre-authentication memory exhaustion denial of service yang dapat menghabiskan memori melalui unauthenticated message, dengan skor 8.7
    • Versi terdampak adalah sebelum 8.2.4, sebelum 8.0.18, sebelum 7.0.29
    • SERVER-116210
  • Informasi sensitif yang tertinggal di log

    • CVE-2026-9735 adalah masalah ketika MongoDB Server dapat mencatat authentication parameter dan credential ke server log, dengan cakupan dampak MongoDB Server sebelum 8.3.3
    • SERVER-126506
    • CVE-2026-9751 adalah masalah ketika informasi sensitif dapat dicatat ke mongod.log saat parameter ldapQueryPassword diatur melalui command runtime setParameter
    • Versi terdampak adalah sebelum 8.3.3, sebelum 8.2.10, sebelum 8.0.24, sebelum 7.0.35
    • SERVER-123370
  • Server crash dan masalah availability

    • CVE-2026-9754 adalah masalah ketika authenticated user with read role dapat membaca sebagian stack memory yang belum diinisialisasi pada command filemd5, dengan skor 7.1
    • CVE-2026-9753 dapat menyebabkan server crash ketika malformed binary diff diteruskan ke $_internalApplyOplogUpdate
    • CVE-2026-9752 dapat memicu server crash saat 2dsphere index key generation oleh GeometryCollection yang memiliki strict-winding polygon
    • CVE-2026-9749 dapat menyebabkan server crash saat menggunakan MaxKey()
  • Driver dan tool

    • CVE-2026-9101 adalah prototype pollution pada parsing CSV Compass, dengan versi terdampak Compass 1.36.3 hingga 1.49.5
    • CVE-2026-9100 adalah masalah heap memory out-of-bounds read dan crash pada C Driver legacy GridFS file reader
    • CVE-2026-6811 dapat menyebabkan application crash akibat stack exhaustion pada MongoDB PHP driver
    • CVE-2026-2303 memungkinkan application crash atau information leak akibat heap out-of-bounds read pada MongoDB Go Driver GSSAPI C wrapper
    • CVE-2026-2302 adalah masalah unsafe reflection pada Mongoid::Criteria.from_hash di MongoDB Ruby Driver
  • Ops Manager RCE

    • CVE-2026-8431 adalah RCE melalui body webhook Ops Manager, dengan skor 9.4
    • Jika administrative user dapat mengatur webhook, nilai tertentu di dalam payload dapat digunakan untuk mengeksekusi perintah arbitrer
    • Cakupan dampaknya adalah Ops Manager 7.0 hingga sebelum 8.0.23
    • Ops Manager release notes

Kelompok produk yang sering muncul dalam pemberitahuan keamanan sejak 2025

  • MongoDB Server

    • CVE terkait server crash, denial of service, privilege escalation, certificate validation, malformed BSON, aggregation, query planner, sharding, dan time series berulang kali tercatat
    • Versi terdampak berbeda-beda per pemberitahuan, mencakup lini MongoDB 5.0, 6.0, 7.0, 8.0, 8.1, 8.2, 8.3
  • Client dan driver

    • C Driver, PHP Driver, Go Driver, Ruby Driver, Rust Driver, Node.js Driver, Java driver, .NET/C# Driver, PyMongo, libbson, js-bson, dan lainnya muncul sebagai produk terdampak
    • Beberapa item membahas masalah authentication-related data yang terekspos ke command listener atau connection pool event listener
  • Tool operasional

    • Compass, mongosh, MongoDB for VS Code, Atlas Kubernetes Operator, Enterprise Kubernetes Operator, Ops Manager, Cloud Manager, BI Connector, Atlas SQL ODBC driver, dan Database Tools termasuk dalam produk terdampak
    • Masalah yang termasuk antara lain hilangnya pengaturan ACL pada MSI installer Windows, local privilege escalation, control character injection, dan kurangnya validasi input terkait MITM

Pemberitahuan keamanan umum

  • Bagian General mencakup pembaruan security incident yang pertama kali dipublikasikan pada 16 Desember 2023
  • Item 28 Desember dan 29 Desember 2023 menyatakan bahwa tidak ditemukan bukti unauthorized access terhadap MongoDB Atlas cluster atau customer data yang tersimpan di Atlas cluster
  • Item 26 Desember 2023 memberitahukan bahwa masalah login pelanggan sedang terjadi akibat lonjakan login attempt
  • Item 24 Januari 2024 menginformasikan publikasi post event summary dari MongoDB
  • MongoDB Security Incident Post Event Summary

1 komentar

 
GN⁺ 2023-12-18
Komentar Hacker News
  • Saat ini saya benar-benar terkunci dari akun Atlas dan portal dukungan
    Saya memakai autentikasi Mongo dan Okta, tetapi semua percobaan login gagal di layar masuk dengan pesan "The request contained invalid data."
    Masalahnya, portal dukungan juga memerlukan autentikasi, jadi untuk mendapatkan bantuan soal kegagalan autentikasi, saya harus melewati autentikasi terlebih dahulu
    Penasaran apakah orang lain juga mengalami masalah mengakses dashboard
    Tambahan: sekitar pukul 5:15 sore waktu Timur AS, autentikasi kembali berfungsi dan akses dashboard juga pulih

    • Sebagai karyawan MongoDB, saya bisa bilang bahwa masalah login ini tidak terkait dengan insiden keamanan
      Ada lonjakan percobaan login saat kami mengirim pemberitahuan ke semua pelanggan dan pengguna secara bersamaan
      Jika Anda masih mengalami masalah login, coba lagi beberapa menit kemudian
      Mohon terus pantau halaman peringatan: https://www.mongodb.com/alerts
    • Saat mencoba login, muncul upstream request timeout
    • Saya juga mengalami hal yang sama dengan Google SSO
  • Pengumumannya bagus karena singkat dan tepat sasaran
    Dijelaskan dengan jelas bahwa ini masih tahap awal, cakupan yang saat ini diketahui, dan bahwa pembaruan lanjutan akan diberikan begitu informasi masuk
    Saya harap orang-orang tidak bereaksi seolah menghukum MongoDB hanya karena belum memasukkan lebih banyak informasi, padahal penyelidikannya jelas masih sangat awal

    • Tertulis bahwa kejadian ini baru terdeteksi pada tanggal 13, dan diduga sudah berlangsung cukup lama
      Bahkan belum benar-benar jelas apakah data pengguna ikut tersentuh, jadi rasanya perlu jawaban, bukan sekadar belum memberi info atau hanya mengatakan "tidak"
    • Setuju
      MongoDB memang menerima banyak kritik, tetapi respons kali ini patut diakui karena menunjukkan kejujuran, transparansi, dan kepercayaan
      Saya berharap perusahaan lain meniru pendekatan seperti ini, dan karena MongoDB sendiri memperlihatkan prinsip-prinsip itu, saya jadi lebih bersedia berbisnis dengan mereka
  • Di situ tertulis regularly rotate their MongoDB Atlas passwords, apakah ada konteks yang saya lewatkan?
    Atau memang tim keamanan modern benar-benar menyarankan pergantian kata sandi berkala?

    • Melakukan rotasi secret secara berkala untuk aplikasi itu bagus
      Memaksa pengguna mengganti kata sandi secara rutin bukan ide yang bagus
  • Jika saya terdampak, saya tidak tahu bagaimana harus memantau perilaku aneh di sistem
    Hanya melihat log rasanya tidak cukup

  • Kejadian ini menunjukkan risiko sentralisasi ekstrem
    Walaupun pelanggan Atlas mungkin tidak terdampak langsung, wajar kalau orang khawatir ketika situs web atau kanal dukungan kewalahan setelah pengumuman seperti ini
    Dalam kasus seperti ini, untuk benar-benar memberi redundansi, harus ada lebih banyak penyedia DBaaS MongoDB yang independen, tetapi itu sangat dibatasi oleh perubahan lisensi SSPL
    Semoga FerretDB bisa membangun alternatif yang layak

    • “Sentralisasi ekstrem”? Tunggu saja sampai us-East-1 tumbang
  • Pemberitahuan keamanan yang saya terima hari ini menyebut MongoDB sedang menyelidiki akses tanpa otorisasi ke beberapa sistem perusahaan, dan bahwa metadata akun pelanggan serta informasi kontak telah terekspos
    Untuk saat ini mereka mengatakan belum mengetahui adanya data pelanggan yang disimpan di MongoDB Atlas ikut terekspos
    Mereka mendeteksi aktivitas mencurigakan pada Rabu malam, 13 Desember 2023 waktu Timur AS, segera mengaktifkan prosedur respons insiden, dan meyakini akses tersebut telah berlangsung selama suatu periode sebelum ditemukan
    Kepada pelanggan, mereka menyarankan agar waspada terhadap rekayasa sosial dan serangan phishing, serta merekomendasikan MFA tahan phishing dan penggantian kata sandi jika belum dilakukan, dan mengatakan informasi tambahan akan diperbarui di mongodb.com/alerts

    • Saya juga menerima email yang sama
      Untungnya saya sebenarnya tidak memakai MongoDB Atlas
  • “Data Anda aman. Soalnya sejak awal memang tidak pernah ditulis ke disk.”

  • Saya belum pernah memakai MongoDB, jadi penasaran apa alasan orang memilih MongoDB dibanding database lain

    • Sangat fleksibel
      Karena pengembangan tidak harus mengikuti skema, misalnya saat ingin cepat mengubah fitur dan data, Anda tidak terlalu perlu khawatir soal migrasi
      Ini keuntungan besar untuk startup yang ingin bergerak cepat
      Query-nya terlihat seperti kode aplikasi, jadi lebih sedikit beban menerjemahkan ide ke query SQL, dan menurut pengalaman hasilnya jadi query yang lebih jarang rusak
      Soal serangan injeksi juga tidak terlalu perlu dikhawatirkan kecuali Anda sengaja membuat struktur yang berbahaya, dan menurut saya query yang kompleks lebih mudah ditulis dibanding SQL
      Konversi tipe juga bisa ditangani di kode, alih-alih memakai fungsi SQL inline spesifik platform seperti field_name::timestamp
      Ada satu standar untuk query dan cara pengembangan, dan hampir tidak ada urusan dengan dialek yang berbeda-beda seperti di SQL
      Untuk kebanyakan use case, skalanya cukup baik dan mudah, dan karena hanya ada satu jenis MongoDB, ruang untuk kebingungan dogmatis soal varian tertentu juga lebih kecil
    • MongoDB adalah pemain awal dari masa ketika semua orang mengira database dokumen NoSQL bisa menyelesaikan semua masalah
    • MongoDB adalah pilihan NoSQL yang paling representatif
      Jika Anda menganggap skema fleksibel itu bagus, MongoDB hebat; jika Anda menganggap skema fleksibel itu buruk, ya kurang bagus
      Singkatnya, itu saja intinya
    • Saya memakainya on-premise, tepatnya di VPS
      Menyimpan dan menangani dokumen JSON itu mudah
      Jika datanya berbentuk seperti pohon, ini cukup cocok bahkan untuk dokumen besar
      Jika Anda bergantung pada relasi antardokumen, database SQL lebih baik, tetapi dalam banyak kasus—pada dasarnya hampir semua kasus biasa—relasi ala SQL tidak selalu diperlukan
      MongoDB juga bisa menangani relasi, hanya saja sedikit lebih rumit
    • Cukup mudah untuk mulai dipakai
      MQL juga mudah dipahami, dan membuat MongoDB terasa cukup menyenangkan
      Sebagai catatan, saya bekerja di MongoDB
  • Akhir-akhir ini saya penasaran kenapa orang masih memilih MongoDB alih-alih Postgres
    Kalau ada yang saya lewatkan saya sungguh ingin tahu, dan saya juga tidak menentang data JSON itu sendiri; saya sering memakai tabel jsonb di Postgres

    • Orang memakai MongoDB karena mudah untuk memulai
      Ia menangani “urusan database” dan “autentikasi”
      Saya sudah berhenti melawan arus ini, dan kalau melihat MongoDB dipakai di tahap awal, saya langsung menganggap itu tanda para pengembang masih memakai roda bantu