2 puan yazan GN⁺ 2023-12-18 | 1 yorum | WhatsApp'ta paylaş
  • MongoDB Alerts, veri bütünlüğü, operasyon ve CVE güvenlik sorunlarını tek bir yerde toplayan; sürüme göre etki kapsamını ve müdahale gerektiren MongoDB dağıtımlarını görmeyi sağlayan bir duyuru merkezidir
  • 2026 veri bütünlüğü başlıkları; clustered collection içinde _id azalan aralık sorgusu hatası, sharded cluster içinde unique index’in yinelenen değerlere izin vermesi, Relational Migrator eksikleri ve shard’a doğrudan bağlanıldığında read/write concern’in uygulanmamasını içerir
  • Operasyon tarafında, 2026 Nisan’a kadar büyük kamuya açık CA’ler clientAuth EKU içeren TLS sertifikaları vermeyi durduracağından, self-managed MongoDB’nin mTLS ve X.509 kimlik doğrulama yapılandırmaları etkilenebilir
  • Güvenlik bölümü, 2019’dan 2026’ya kadar MongoDB Server, Compass, mongosh, sürücüler ve Ops Manager gibi ürünler için CVE listelerini ürün bazında sunar
  • Uygulamada sorumlu ekipler, kullandıkları Server, Atlas, Relational Migrator, Compass, mongosh ve dile özgü sürücü sürümlerini etki kapsamıyla karşılaştırmalı; yama sürümüne yükseltme veya duyurulan geçici çözüm ayarlarını uygulamalıdır

MongoDB Alerts sayfasının kapsadığı alanlar

  • MongoDB Alerts, MongoDB’ye ilişkin önemli uyarı ve tavsiyeleri bir araya getiren bir sayfadır
  • Kapsamlı hata ve özellik isteği listesi MongoDB JIRA üzerinden görülebilir
  • Yeni duyurular RSS Feed ile de sunulur
  • Sayfa şu kategorilerden oluşur
    • Data Integrity Related
    • Operations Related
    • Security Related: Common Vulnerabilities and Exposures (CVEs)
    • General

2026 veri bütünlüğü uyarıları

  • clustered collection içindeki _id azalan aralık sorguları

    • 17 Haziran 2026 duyurusu
    • clustered collection içinde _id alanına azalan sıralama uygulanmışken {$lt: A}, {$gt: A}, {$gte: A, $lt: B}, {$gt: A, $lte: B} biçimindeki aralık koşulları kullanılırsa sınırdaki belgeler yanlışlıkla dahil edilebilir veya hariç bırakılabilir
    • time series collection, non-clustered collection, _id için azalan sıralama uygulanmamış clustered collection ve aynı dahil etme/dışlama tipindeki karşılaştırma işleç birleşimleri etkilenmez
    • Etkilenen sürümler:
      • MongoDB 8.0.0–8.0.23
      • 8.2.0–8.2.9
      • 8.3.0–8.3.2
    • SERVER-121822
  • sharded cluster unique index’te benzersizlik garantisi

    • 14 Mayıs 2026 duyurusu
    • sharded cluster içinde shard key, index key pattern ile aynıysa veya onun strict prefix’i ise ve unique index non-simple collation kullanıyorsa, shard’lar arasında benzersizlik zorunlu kılınmayabilir
    • "YES" ve "yes" gibi, bayt değerleri farklı ama collation açısından aynı kabul edilen değerler farklı shard’lara birbirinden bağımsız şekilde yazılabilir
    • Sorun koşulları; iki veya daha fazla shard, non-simple collation kullanan unique index ve shard key’in index key pattern ile aynı olması veya onun strict prefix’i olmasıdır
    • Etkilenen sürümler:
      • 5.0.0–5.0.32
      • 6.0.0–6.0.28
      • 7.0.0–7.0.31
      • 8.0.0–8.0.20
      • 8.2.0–8.2.6
    • SERVER-85346
  • Relational Migrator geçişlerinde eksik veri

    • 14 Mayıs 2026 duyurusu
    • Relational Migrator kullanan kullanıcılar, sharded cluster migration sırasında embedded document veya embedded array varsa belge eksikliği yaşayabilir
    • embedded array altında hariç tutulan foreign key içeren cyclic mapping, birden fazla composite foreign key ilişkisi için kullanılan source table column ve çakışan field name seçimi; eksik, tutarsız veya yanlış adlandırılmış alanlar oluşturabilir
    • Etkilenen ürün MongoDB Relational Migrator 1.16.0 öncesi sürümlerdir
    • SERVER-126522
  • shard’a doğrudan bağlanıldığında read/write concern uygulanmaması

    • 14 Mayıs 2026 duyurusu
    • mongos üzerinden geçmeden doğrudan shard node’una bağlanılırsa, cluster-wide varsayılan read/write concern uygulanmayabilir
    • Bu durumda write işlemleri, yapılandırılmış concern yerine {w: 1} ile çalışabilir ve rollback olursa acknowledged write kaybedilebilir
    • sharded cluster’a yalnızca mongos üzerinden bağlanılmalıdır
    • Shard’a doğrudan bağlanmak gerekiyorsa derhal yama sürümüne yükseltme yapılmalı veya connection string içinde {w: "majority"} gibi açık bir read/write concern belirtilmelidir
    • Etkilenen sürümler:
      • 5.0.0–5.0.32
      • 6.0.0–6.0.28
      • 7.0.0–7.0.31
      • 8.0.0–8.0.19
      • 8.2.0–8.2.3
    • SERVER-111031

Son veri bütünlüğü uyarılarında tekrarlanan kalıplar

  • sharding ve migration

    • Mart 2026 başlığı, shard key prefix içeren compound wildcard index’e sahip sharded collection’da chunk migration sırasında veri kaybı riskini ele alır
    • Kasım 2025’te, cross-shard transaction’ların belirli failover koşullarında kısmi commit olabildiği bir sorun kaydedildi
    • Nisan 2024’te, sharded multi-document transaction’ların yanlış veri döndürebilmesi veya write atlayabilmesiyle ilgili bir sorun yer aldı
  • time series collection

    • Kasım 2025 başlığı, time series collection içindeki metric data için 2dsphere index key’lerinin üretilip eklenmemesi nedeniyle geospatial query’lerin eksik sonuç döndürebileceğini bildirir
    • Ağustos 2025 başlığı, belirli double-precision metric giriş desenlerinin veri bozulmasına yol açabildiği bir sorunu ele alır
    • Ocak 2025 başlığı, ordered: false eşzamanlı insert ile retryable writes birleşiminde time series collection veri kaybı olasılığını içerir
  • sorgu sonucu doğruluğu

    • Mart 2026’da, $sort sonrasında gelen ve $top veya $bottom accumulator kullanan $group içeren aggregation query’lerin yanlış sonuç döndürebildiği bir sorun kaydedildi
    • Şubat 2026’da, SQL interface içinde WHERE koşulundaki OR ifadelerinden biri UNKNOWN, diğeri TRUE olduğunda yanlış sonuç dönebileceği belirtildi
    • Haziran 2025’te, $elemMatch ve string predicate içeren sorguların, collation uyuşmayan bir index kullandığı için dahil edilmesi gereken belgeleri atlayabildiği bir sorun duyuruldu

Operasyonla ilgili uyarılar

  • kamuya açık CA’lerin clientAuth EKU politika değişikliği

    • 22 Ocak 2026 duyurusu
    • Büyük kamuya açık Certificate Authority kuruluşları, 2026 Nisan’ına kadar client authentication (clientAuth) Extended Key Usage içeren TLS sertifikalarının verilmesini durduran bir politika gerekliliğini uygulamaya alıyor
    • Bu değişiklik yalnızca mutual TLS (mTLS) veya X.509 kimlik doğrulaması için public CA sertifikası kullanan self-managed MongoDB dağıtımlarını etkiler
    • self-managed müşteriler 2026 Nisan–Mayıs son tarihinden önce private PKI infrastructure’a geçmeli veya MongoDB yapılandırmasını değiştirmelidir
    • Atlas müşterileri etkilenmez
    • Etki kapsamı:
      • X.509 Cluster Authentication
      • X.509 Client Authentication
      • Google Trust Services, Let’s Encrypt, DigiCert, Sectigo tarafından verilen public CA sertifikalarıyla kullanılan mTLS
    • İlgili duyuru
  • mongosh ve Node.js REPL autocomplete

    • 30 Eylül 2025 duyurusu
    • MongoDB Shell’in Homebrew veya npm package manager ile kurulan third-party distribution’ları bir Node.js REPL hatasından etkilenebilir
    • autocomplete sırasında istenmeyen side effect’ler oluşabilir
    • Etki kapsamı, Node.js 20.19.5–24.7.0 ile kullanılan mongosh 2.5.8 öncesidir
    • MONGOSH-2635
  • FIPS mode ve OpenSSL 3

    • 11 Eylül 2025 duyurusu
    • Linux üzerinde cryptographic operation için OpenSSL 3 kullanan FIPS mode yapılandırmalı MongoDB, non-FIPS provider’dan kriptografik algoritmalar kullanabilir
    • Bu durumda istemci, non-FIPS-compliant kriptografik algoritmalarla FIPS-mode MongoDB’ye TLS bağlantısı kurabilir
    • Etkilenen sürümler:
      • 6.0.0–6.0.25
      • 7.0.0–7.0.22
      • 8.0.0–8.0.12
    • SERVER-109268

2026 CVE güvenlik duyuruları

  • MongoDB Server zafiyetleri

    • 12 Haziran 2026 tarihli CVE-2026-11933, server-side JavaScript BSON-to-array conversion içinde post-authentication use-after-free zafiyetidir ve puanı 8.8’dir
    • Etkilenen sürümler 8.3.3 ve öncesi, 8.2.10 ve öncesi, 8.0.25 ve öncesi, 7.0.36 ve öncesi, 6.0.28 ve öncesi, 5.0.33 ve öncesi, 4.4.30 ve öncesidir
    • SERVER-128125
  • pre-authentication denial of service

    • CVE-2026-9740, BSONColumn interleaved-reference içinde sınırsız özyineleme nedeniyle pre-auth stack overflow’a yol açabilir ve puanı 8.7’dir
    • Etkilenen sürümler 8.3.3 öncesi, 8.2.10 öncesi, 8.0.24 öncesi, 7.0.35 öncesidir
    • SERVER-125063
    • CVE-2026-25611, kimlik doğrulama gerektirmeyen bir mesajla belleği tüketebilen, pre-authentication memory exhaustion denial of service sorunudur ve puanı 8.7’dir
    • Etkilenen sürümler 8.2.4 öncesi, 8.0.18 öncesi, 7.0.29 öncesidir
    • SERVER-116210
  • loglara yazılan hassas bilgiler

    • CVE-2026-9735, MongoDB Server’ın authentication parameter ve credential bilgilerini server log’una yazabilmesi sorunudur; etki kapsamı MongoDB Server 8.3.3 öncesidir
    • SERVER-126506
    • CVE-2026-9751, ldapQueryPassword parameter’ı çalışma anında setParameter komutuyla ayarlandığında hassas bilgilerin mongod.log dosyasına yazılabilmesi sorunudur
    • Etkilenen sürümler 8.3.3 öncesi, 8.2.10 öncesi, 8.0.24 öncesi, 7.0.35 öncesidir
    • SERVER-123370
  • sunucu çökmesi ve erişilebilirlik sorunları

    • CVE-2026-9754, filemd5 komutunda read rolüne sahip kimliği doğrulanmış kullanıcının başlatılmamış stack memory’nin bir kısmını okuyabilmesi sorunudur ve puanı 7.1’dir
    • CVE-2026-9753, malformed binary diff $_internalApplyOplogUpdate'e geçirildiğinde server crash’e yol açabilir
    • CVE-2026-9752, strict-winding polygon içeren GeometryCollection yapısının 2dsphere index key üretimi sırasında server crash oluşturabilmesine neden olur
    • CVE-2026-9749, MaxKey() kullanıldığında server crash’e yol açabilir
  • sürücüler ve araçlar

    • CVE-2026-9101, Compass CSV parsing içindeki prototype pollution sorunudur; etkilenen sürümler Compass 1.36.3 ile 1.49.5 arasıdır
    • CVE-2026-9100, C Driver legacy GridFS file reader içindeki heap memory out-of-bounds read ve crash sorunudur
    • CVE-2026-6811, MongoDB PHP driver içinde stack exhaustion nedeniyle application crash’e yol açabilir
    • CVE-2026-2303, MongoDB Go Driver GSSAPI C wrapper içindeki heap out-of-bounds read nedeniyle application crash veya information leak’e olanak tanıyabilir
    • CVE-2026-2302, MongoDB Ruby Driver içindeki Mongoid::Criteria.from_hash unsafe reflection sorunudur
  • Ops Manager RCE

    • CVE-2026-8431, Ops Manager webhook body üzerinden RCE’dir ve puanı 9.4’tür
    • webhook yapılandırabilen administrative user, payload içindeki belirli değerler aracılığıyla keyfi komut çalıştırabilir
    • Etki kapsamı Ops Manager 7.0 ile 8.0.23 öncesi sürümler arasıdır
    • Ops Manager release notes

2025 sonrası güvenlik duyurularında sık geçen ürün grupları

  • MongoDB Server

    • server crash, denial of service, privilege escalation, certificate validation, malformed BSON, aggregation, query planner, sharding ve time series ile ilgili CVE’ler tekrar tekrar kayda geçti
    • Etkilenen sürümler, MongoDB 5.0, 6.0, 7.0, 8.0, 8.1, 8.2 ve 8.3 serileri arasında duyuruya göre değişiklik gösterir
  • istemciler ve sürücüler

    • C Driver, PHP Driver, Go Driver, Ruby Driver, Rust Driver, Node.js Driver, Java driver, .NET/C# Driver, PyMongo, libbson ve js-bson etkilenen ürünler arasında yer alır
    • Bazı başlıklar, kimlik doğrulamayla ilgili verilerin command listener veya connection pool event listener’a sızması sorununu ele alır
  • operasyon araçları

    • Compass, mongosh, MongoDB for VS Code, Atlas Kubernetes Operator, Enterprise Kubernetes Operator, Ops Manager, Cloud Manager, BI Connector, Atlas SQL ODBC driver ve Database Tools etkilenen ürünler arasındadır
    • Windows kurulum MSI’ında ACL yapılandırmasının eksik olması, local privilege escalation, control character injection ve MITM ile ilgili yetersiz giriş doğrulaması gibi sorunlar da buna dahildir

Genel güvenlik duyuruları

  • General bölümünde, ilk kez 16 Aralık 2023’te yayımlanan güvenlik olayı güncellemeleri yer alır
  • 28 Aralık ve 29 Aralık 2023 tarihli başlıklarda, MongoDB Atlas cluster’larına veya Atlas cluster’larında saklanan customer data’ya yetkisiz erişim olduğuna dair kanıt bulunamadığı belirtilir
  • 26 Aralık 2023 tarihli başlık, login attempt sayısındaki artış nedeniyle müşterilerin giriş sorunları yaşadığını bildirir
  • 24 Ocak 2024 tarihli başlık, MongoDB’nin post event summary yayımladığını duyurur
  • MongoDB Security Incident Post Event Summary

1 yorum

 
GN⁺ 2023-12-18
Hacker News yorumları
  • Şu anda Atlas hesabıma ve destek portalına tamamen kilitlenmiş durumdayım.
    Mongo ve Okta kimlik doğrulaması kullanıyorum; tüm oturum açma denemeleri giriş ekranında "The request contained invalid data." hatasıyla başarısız oluyor.
    Sorun şu ki destek portalı da kimlik doğrulaması gerektiriyor; yani kimlik doğrulama hatası için yardım almak istiyorsanız önce kimlik doğrulamanız gerekiyor.
    Başka birinin de panoya erişim sorunu yaşayıp yaşamadığını merak ediyorum.
    Ek: ABD Doğu saatiyle 17:15 civarında kimlik doğrulama yeniden çalışmaya başladı ve panoya erişim de mümkün oldu.

    • MongoDB çalışanı olarak söyleyeyim: oturum açma sorunu güvenlik olayıyla ilgisiz.
      Tüm müşterilere ve kullanıcılara aynı anda bildirim gönderilince oturum açma denemeleri hızla arttı.
      Hâlâ oturum açma sorunu yaşıyorsanız birkaç dakika sonra tekrar denemenizi rica ederiz.
      Lütfen uyarı sayfasını kontrol etmeye devam edin: https://www.mongodb.com/alerts
    • Giriş yapmaya çalışınca upstream request timeout alıyorum.
    • Google SSO'da da aynı şeyi yaşıyorum.
  • Duyurunun kısa ve öz, doğrudan konuya odaklı olması hoşuma gitti.
    Henüz erken aşamada olduğunu, şu an bilinen kapsamı ve bilgi geldikçe takip güncellemeleri olacağını açıkça söylüyor.
    Soruşturma bariz biçimde erken aşamadayken daha fazla bilgi koymadı diye MongoDB'ye ceza keser gibi tepki verilmemesini umarım.

    • 13'ünde ancak tespit edildiği ve bir süredir devam etmiş olabileceğini düşündükleri yazıyor.
      Kullanıcı verilerine ulaşılıp ulaşılmadığı bile aslında kesin değil; sanki henüz bunu söylememişler ya da sadece "hayır" diyorlarmış gibi, buna yanıt gerekiyor.
    • Katılıyorum.
      MongoDB pek çok eleştiri alsa da bu müdahale dürüstlük, şeffaflık ve güven açısından bir adım geri çekilip takdir edilecek türden.
      Diğer şirketlerin de bu yolu izlemesini isterim; bu ilkeleri bizzat göstermeleri nedeniyle MongoDB ile iş yapma isteğim arttı.
  • regularly rotate their MongoDB Atlas passwords denmiş; kaçırdığım bir bağlam mı var?
    Yoksa modern bir güvenlik ekibi gerçekten parolaların düzenli değiştirilmesini mi öneriyor?

    • Uygulama secret'larını düzenli olarak döndürmek iyidir.
      Kullanıcıları parolalarını düzenli aralıklarla değiştirmeye zorlamak pek iyi değildir.
  • Etkilendiysek sistemlerde olağandışı davranışı nasıl izleyeceğimizi bilmiyorum.
    Sadece loglara bakmak yeterli görünmüyor.

  • Bu olay aşırı merkezîleşmenin riskini gösteriyor.
    Atlas müşterileri doğrudan etkilenmemiş olsa bile, duyurudan sonra web sitesi veya destek kanalları aşırı yüklenirse endişelenmek doğal.
    Böyle durumlarda gerçek yedeklilik sağlamak için daha fazla bağımsız MongoDB DBaaS sağlayıcısı olması gerekir; ancak SSPL lisans değişikliği bunu ciddi biçimde sınırladı.
    FerretDB'nin uygulanabilir bir alternatifi iyi şekilde ortaya koymasını umarım.

    • “Aşırı merkezîleşme” mi; us-East-1 çökene kadar bekle.
  • Bugün aldığım güvenlik duyurusu, MongoDB'nin bazı kurumsal sistemlere yetkisiz erişimi araştırdığı ve müşteri hesap metaverileri ile iletişim bilgilerinin açığa çıktığı yönündeydi.
    Şimdilik müşterilerin MongoDB Atlas'ta sakladığı verilerin açığa çıktığına dair bilgileri olmadığını söylüyorlar.
    ABD Doğu saatiyle 13 Aralık 2023 Çarşamba akşamı şüpheli etkinlik tespit etmişler, derhal olay müdahale prosedürlerini devreye almışlar ve erişimin keşiften önce bir süre devam etmiş olabileceğini düşünüyorlarmış.
    Müşterilere sosyal mühendislik ve phishing saldırılarına karşı dikkatli olmalarını; henüz yapmadılarsa phishing'e dayanıklı çok faktörlü kimlik doğrulama ve parola rotasyonu kullanmalarını öneriyorlar; ek bilgileri mongodb.com/alerts'te güncelleyeceklerini söylüyorlar.

    • Ben de aynı e-postayı aldım.
      Neyse ki fiilen MongoDB Atlas kullanmıyorum.
  • “Verileriniz güvende. Zaten en başta diske hiç yazmadık.”

  • MongoDB'yi hiç kullanmadım; insanların başka veritabanları yerine MongoDB'yi seçme nedeninin ne olduğunu merak ediyorum.

    • Çok esnek.
      Şemaya göre geliştirme yapmadığınız için, örneğin özellikleri ve verileri hızlı değiştirdiğinizde migration konusunda pek endişelenmeniz gerekmiyor.
      Hızlı hareket etmek isteyen startup'lar için büyük avantaj.
      Sorgular uygulama koduna benziyor; fikirleri SQL sorgularına çevirmek için kafa yormak azalıyor ve deneyimime göre daha az kırılgan sorgulara yol açıyor.
      Enjeksiyon saldırıları da özellikle tehlikeli bir yapı kurmadıkça çok fazla dert etmeniz gereken bir şey değil; SQL'e kıyasla karmaşık sorgular yazmanın daha kolay olduğunu düşünüyorum.
      Tip dönüşümleri de field_name::timestamp gibi platforma özgü inline SQL fonksiyonları yerine kodda yapılabiliyor.
      Sorgu ve geliştirme tarzı için tek bir standart var; SQL'deki gibi lehçelere göre geliştirme yapmak neredeyse hiç yok.
      Çoğu kullanım senaryosunda oldukça iyi ve kolay ölçekleniyor; tek bir MongoDB türü olduğu için belirli bir varyant etrafında dogmatik kafa karışıklığı çıkma ihtimali de daha düşük.
    • Herkesin NoSQL belge veritabanlarının tüm sorunları çözeceğini düşündüğü dönemin erken oyuncularından biriydi.
    • MongoDB başlıca NoSQL seçeneklerinden biri.
      Esnek şemanın iyi olduğunu düşünüyorsanız MongoDB harika; esnek şemanın kötü olduğunu düşünüyorsanız pek iyi değil.
      Özetle hepsi bu.
    • On-premises, daha doğrusu VPS üzerinde kullanıyorum.
      JSON belgelerini saklamak ve işlemek kolay.
      Veriniz ağaç gibi yapıdaysa büyük belgeler için de oldukça uygun.
      Belgeler arası ilişkilere dayanıyorsanız SQL veritabanı daha iyi; ama birçok durumda —aslında sıradan kullanımın neredeyse tamamında— SQL tarzı ilişkilere mutlaka ihtiyaç yok.
      MongoDB de ilişkileri işleyebiliyor ama biraz daha karmaşık.
    • Başlamak oldukça kolay.
      MQL de anlaşılması kolay ve MongoDB'yi bir ölçüde keyifli hissettiriyor.
      Bu arada MongoDB'de çalışıyorum.
  • Günümüzde insanların neden Postgres yerine MongoDB'yi seçmeye devam ettiğini merak ediyorum.
    Kaçırdığım bir şey varsa gerçekten bilmek isterim; JSON verinin kendisine karşı da değilim ve Postgres'te jsonb tablolarını sık kullanıyorum.

    • MongoDB kullanmalarının nedeni başlamanın kolay olması.
      “Veritabanı işlerini” ve “kimlik doğrulamayı” hallediyor.
      Bu akışla savaşmaktan vazgeçtim; erken aşamada MongoDB kullanıldığını görünce geliştiricilerin hâlâ yardımcı tekerlekler taktığının işareti olarak hemen kabul ediyorum.