广受欢迎的NoSQL数据库MongoDB近日修复了一个严重并且可被远程利用的拒绝服务（DoS）漏洞。该漏洞由FortiGuard实验室研究人员于2月20日和23日发现，MongoDB官方已于3月17日发布补丁。

漏洞可造成数据库崩溃

FortiGuard实验室安全专家Samir Lakhani表示，漏洞利用方法是一个会频繁造成数据库崩溃的正则表达式，但Fortinet没有透露细节。

“一个潜在攻击者不需要身份验证或者对数据库有访问权限就能利用此漏洞，他们需要做的只是发送精心编制的数据包（即特定正则表达查询），来攻击数据库。”

有经验并且了解正则表达式的攻击者一般不会在这上面花费太多时间，特别是在检查了代码之后。

“对此漏洞进行攻击的方式好几种。最常见的是通过MongoDB网站或者客户端连接到MongoDB服务器，攻击者将一个regex字符串放进MongoDB，读取并处理它。只要这串字符看起来是在数据包里，服务器就会奔溃。”