2 पॉइंट द्वारा GN⁺ 2023-12-18 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • MongoDB Alerts डेटा अखंडता, ऑपरेशंस और CVE सुरक्षा मुद्दों को एक जगह समेटने वाला नोटिस हब है, जिससे version के हिसाब से impact scope और जिन MongoDB deployments पर कार्रवाई चाहिए, उन्हें देखा जा सकता है
  • 2026 के डेटा अखंडता आइटम्स में clustered collection की _id descending range query error, sharded cluster में unique index duplicates की अनुमति, Relational Migrator में missing documents, और shard से सीधे connect करने पर read/write concern लागू न होना शामिल है
  • ऑपरेशंस के लिहाज से, अप्रैल 2026 तक प्रमुख public CA clientAuth EKU वाले TLS certificates जारी करना बंद कर देंगे, जिससे self-managed MongoDB की mTLS और X.509 authentication configurations प्रभावित हो सकती हैं
  • सुरक्षा सेक्शन 2019 से 2026 तक MongoDB Server, Compass, mongosh, drivers, Ops Manager आदि की CVE सूची product-wise देता है
  • practitioners को अपने Server, Atlas, Relational Migrator, Compass, mongosh और language-specific driver versions को impact scope से मिलाना चाहिए, और patch version upgrade या घोषित workaround settings लागू करनी चाहिए

MongoDB Alerts पेज का दायरा

  • MongoDB Alerts, MongoDB की महत्वपूर्ण warnings और advisories को इकट्ठा करने वाला पेज है
  • comprehensive bugs और feature requests की सूची MongoDB JIRA में देखी जा सकती है
  • नए notices RSS Feed के जरिए भी उपलब्ध हैं
  • पेज निम्न categories से बना है
    • Data Integrity Related
    • Operations Related
    • Security Related: Common Vulnerabilities and Exposures (CVEs)
    • General

2026 के डेटा अखंडता alerts

  • clustered collection की _id descending range query

    • 17 जून 2026 का notice
    • clustered collection में _id field पर descending sort लागू करके {$lt: A}, {$gt: A}, {$gte: A, $lt: B}, {$gt: A, $lte: B} जैसे range conditions इस्तेमाल करने पर boundary documents गलत तरीके से include या exclude हो सकते हैं
    • time series collection, non-clustered collection, _id descending sort न लागू किए गए clustered collection, और समान inclusion/exclusion type वाले comparison operator combinations प्रभावित नहीं हैं
    • प्रभावित versions:
      • MongoDB 8.0.0–8.0.23
      • 8.2.0–8.2.9
      • 8.3.0–8.3.2
    • SERVER-121822
  • sharded cluster unique index में duplicates रोकने की guarantee

    • 14 मई 2026 का notice
    • sharded cluster में अगर shard key, index key pattern के समान हो या strict prefix हो, और unique index non-simple collation इस्तेमाल करता हो, तो shards के बीच uniqueness enforce नहीं हो सकती
    • "YES" और "yes" जैसे values, जिनके byte values अलग हैं लेकिन collation के अनुसार समान हैं, अलग-अलग shards में स्वतंत्र रूप से insert हो सकते हैं
    • समस्या की शर्तें हैं: दो या अधिक shards, non-simple collation वाला unique index, और shard key का index key pattern के समान या strict prefix होना
    • प्रभावित versions:
      • 5.0.0–5.0.32
      • 6.0.0–6.0.28
      • 7.0.0–7.0.31
      • 8.0.0–8.0.20
      • 8.2.0–8.2.6
    • SERVER-85346
  • Relational Migrator migration में omissions

    • 14 मई 2026 का notice
    • Relational Migrator से migrate करने वाले users को sharded cluster migration में embedded document या embedded array होने पर documents missing होने की समस्या आ सकती है
    • embedded array के नीचे excluded foreign key वाला cyclic mapping, कई composite foreign key relationships में इस्तेमाल हुआ source table column, और conflicting field name selection missing, inconsistent या wrongly named fields बना सकते हैं
    • प्रभावित product MongoDB Relational Migrator 1.16.0 से पहले है
    • SERVER-126522
  • shard से सीधे connect करने पर read/write concern लागू न होना

    • 14 मई 2026 का notice
    • mongos से गुजरे बिना shard node से सीधे connect करने पर cluster-wide default read/write concern लागू नहीं हो सकता
    • इस स्थिति में write, configured concern के बजाय {w: 1} से perform हो सकता है, और rollback होने पर acknowledged write खो सकता है
    • sharded cluster से केवल mongos के जरिए connect करना चाहिए
    • अगर सीधे shard connection की जरूरत हो, तो तुरंत patch version में upgrade करें या connection string में {w: "majority"} जैसा explicit read/write concern specify करें
    • प्रभावित versions:
      • 5.0.0–5.0.32
      • 6.0.0–6.0.28
      • 7.0.0–7.0.31
      • 8.0.0–8.0.19
      • 8.2.0–8.2.3
    • SERVER-111031

हालिया डेटा अखंडता alerts में दोहराए जाने वाले patterns

  • sharding और migration

    • मार्च 2026 का item shard key prefix वाले compound wildcard index की मौजूदगी में sharded collection पर chunk migration के दौरान data loss risk को cover करता है
    • नवंबर 2025 में cross-shard transaction के specific failover conditions में partial commit हो सकने की समस्या दर्ज हुई
    • अप्रैल 2024 में sharded multi-document transaction द्वारा गलत data return करने या writes miss करने की समस्या शामिल थी
  • time series collection

    • नवंबर 2025 का item बताता है कि time series collection के metric data के लिए 2dsphere index key generate/insert न होने से geospatial query incomplete results return कर सकती है
    • अगस्त 2025 का item specific double-precision metric input pattern से data corruption हो सकने की समस्या को cover करता है
    • जनवरी 2025 का item ordered: false concurrent insert और retryable writes के combination में time series collection data loss की संभावना शामिल करता है
  • query results की correctness

    • मार्च 2026 में ऐसी समस्या दर्ज हुई जिसमें $sort के तुरंत बाद $group और $top या $bottom accumulator इस्तेमाल करने वाली aggregation query गलत results return कर सकती है
    • फरवरी 2026 में SQL interface में WHERE clause के OR conditions में से एक UNKNOWN और दूसरा TRUE होने पर गलत results return हो सकते हैं
    • जून 2025 में $elemMatch और string predicate वाली query, mismatched collation वाले index का इस्तेमाल करके ऐसे documents miss कर सकती है जिन्हें include होना चाहिए था

ऑपरेशंस से जुड़े alerts

  • public CA की clientAuth EKU policy में बदलाव

    • 22 जनवरी 2026 का notice
    • प्रमुख public Certificate Authorities अप्रैल 2026 तक client authentication(clientAuth) Extended Key Usage वाले TLS certificates जारी करना बंद करने की policy requirement लागू कर रहे हैं
    • यह बदलाव केवल उन self-managed MongoDB deployments को प्रभावित करता है जो mutual TLS(mTLS) या X.509 authentication के लिए public CA certificates इस्तेमाल करते हैं
    • self-managed customers को अप्रैल–मई 2026 deadline से पहले private PKI infrastructure पर migrate करना होगा या MongoDB settings बदलनी होंगी
    • Atlas customers प्रभावित नहीं हैं
    • impact scope:
      • X.509 Cluster Authentication
      • X.509 Client Authentication
      • Google Trust Services, Let’s Encrypt, DigiCert, Sectigo के public CA certificates इस्तेमाल करने वाला mTLS
    • संबंधित notice
  • mongosh और Node.js REPL autocomplete

    • 30 सितंबर 2025 का notice
    • Homebrew या npm package manager से install किए गए MongoDB Shell जैसे third-party distributions, Node.js REPL bug से प्रभावित हो सकते हैं
    • autocomplete के दौरान unintended side effect हो सकता है
    • impact scope Node.js 20.19.5–24.7.0 के साथ इस्तेमाल होने वाला mongosh 2.5.8 से पहले है
    • MONGOSH-2635
  • FIPS mode और OpenSSL 3

    • 11 सितंबर 2025 का notice
    • Linux पर cryptographic operation के लिए OpenSSL 3 इस्तेमाल करने वाली FIPS mode configured MongoDB, non-FIPS provider के cryptographic algorithm का इस्तेमाल कर सकती है
    • इस स्थिति में client, non-FIPS-compliant cryptographic algorithm से FIPS-mode MongoDB से TLS connection कर सकता है
    • प्रभावित versions:
      • 6.0.0–6.0.25
      • 7.0.0–7.0.22
      • 8.0.0–8.0.12
    • SERVER-109268

2026 के CVE सुरक्षा notices

  • MongoDB Server vulnerabilities

    • 12 जून 2026 का CVE-2026-11933 server-side JavaScript BSON-to-array conversion में post-authentication use-after-free vulnerability है और score 8.8 है
    • प्रभावित versions 8.3.3 और इससे पहले, 8.2.10 और इससे पहले, 8.0.25 और इससे पहले, 7.0.36 और इससे पहले, 6.0.28 और इससे पहले, 5.0.33 और इससे पहले, 4.4.30 और इससे पहले हैं
    • SERVER-128125
  • pre-authentication denial of service

    • CVE-2026-9740 BSONColumn interleaved-reference में unbounded recursion के कारण pre-auth stack overflow कर सकता है और score 8.7 है
    • प्रभावित versions 8.3.3 से पहले, 8.2.10 से पहले, 8.0.24 से पहले, 7.0.35 से पहले हैं
    • SERVER-125063
    • CVE-2026-25611 unauthenticated message से memory exhaust कर सकने वाला pre-authentication memory exhaustion denial of service है और score 8.7 है
    • प्रभावित versions 8.2.4 से पहले, 8.0.18 से पहले, 7.0.29 से पहले हैं
    • SERVER-116210
  • logs में रह जाने वाली sensitive information

    • CVE-2026-9735 वह समस्या है जिसमें MongoDB Server authentication parameters और credentials को server log में record कर सकता है, और MongoDB Server 8.3.3 से पहले impact scope में है
    • SERVER-126506
    • CVE-2026-9751 में ldapQueryPassword parameter runtime setParameter command से set होने पर sensitive information mongod.log में record हो सकती है
    • प्रभावित versions 8.3.3 से पहले, 8.2.10 से पहले, 8.0.24 से पहले, 7.0.35 से पहले हैं
    • SERVER-123370
  • server crash और availability issues

    • CVE-2026-9754 filemd5 command में read role वाले authenticated user द्वारा uninitialized stack memory का कुछ हिस्सा पढ़ सकने की समस्या है और score 7.1 है
    • CVE-2026-9753 malformed binary diff को $_internalApplyOplogUpdate में pass किए जाने पर server crash करा सकता है
    • CVE-2026-9752 strict-winding polygon वाले GeometryCollection से 2dsphere index key generation के दौरान server crash हो सकता है
    • CVE-2026-9749 MaxKey() इस्तेमाल करते समय server crash हो सकता है
  • drivers और tools

    • CVE-2026-9101 Compass CSV parsing में prototype pollution है और प्रभावित versions Compass 1.36.3 से 1.49.5 तक हैं
    • CVE-2026-9100 C Driver legacy GridFS file reader में heap memory out-of-bounds read और crash issue है
    • CVE-2026-6811 MongoDB PHP driver में stack exhaustion के कारण application crash हो सकता है
    • CVE-2026-2303 MongoDB Go Driver GSSAPI C wrapper में heap out-of-bounds read के कारण application crash या information leak संभव है
    • CVE-2026-2302 MongoDB Ruby Driver के Mongoid::Criteria.from_hash में unsafe reflection issue है
  • Ops Manager RCE

    • CVE-2026-8431 Ops Manager webhook body के जरिए RCE है और score 9.4 है
    • अगर administrative user webhook configure कर सकता है, तो payload में specific values के जरिए arbitrary commands execute किए जा सकते हैं
    • impact scope Ops Manager 7.0 से 8.0.23 से पहले तक है
    • Ops Manager release notes

2025 के बाद security notices में अक्सर दिखे product groups

  • MongoDB Server

    • server crash, denial of service, privilege escalation, certificate validation, malformed BSON, aggregation, query planner, sharding, time series से जुड़े CVE बार-बार दर्ज हुए
    • प्रभावित versions MongoDB 5.0, 6.0, 7.0, 8.0, 8.1, 8.2, 8.3 series में notice के हिसाब से अलग-अलग हैं
  • clients और drivers

    • C Driver, PHP Driver, Go Driver, Ruby Driver, Rust Driver, Node.js Driver, Java driver, .NET/C# Driver, PyMongo, libbson, js-bson आदि प्रभावित products के रूप में सामने आए
    • कुछ items authentication-related data के command listener या connection pool event listener में expose होने की समस्या cover करते हैं
  • operations tools

    • Compass, mongosh, MongoDB for VS Code, Atlas Kubernetes Operator, Enterprise Kubernetes Operator, Ops Manager, Cloud Manager, BI Connector, Atlas SQL ODBC driver, Database Tools प्रभावित products में शामिल हैं
    • Windows install MSI में ACL settings की कमी, local privilege escalation, control character injection, MITM-related input validation की कमी आदि शामिल हैं

सामान्य security notices

  • General section में 16 दिसंबर 2023 को पहली बार public किए गए security incident updates शामिल हैं
  • 28 दिसंबर और 29 दिसंबर 2023 के items बताते हैं कि MongoDB Atlas cluster या Atlas cluster में store customer data पर unauthorized access का कोई evidence नहीं मिला
  • 26 दिसंबर 2023 का item login attempts में surge के कारण customers को login issues होने की जानकारी देता है
  • 24 जनवरी 2024 का item MongoDB की post event summary publication की सूचना देता है
  • MongoDB Security Incident Post Event Summary

1 टिप्पणियां

 
GN⁺ 2023-12-18
Hacker News की राय
  • अभी Atlas खाते और support portal से पूरी तरह locked out हूँ
    Mongo और Okta authentication इस्तेमाल करता हूँ, लेकिन हर login attempt login screen पर "The request contained invalid data." के साथ fail हो रहा है
    समस्या यह है कि support portal को भी authentication चाहिए, यानी authentication failure पर मदद लेने के लिए भी authenticate करना पड़ता है
    सोच रहा हूँ कि क्या बाकी लोगों को भी dashboard access में समस्या आ रही है
    अपडेट: US Eastern Time शाम करीब 5:15 बजे authentication फिर से काम करने लगा और dashboard access भी संभव हो गया

    • MongoDB कर्मचारी के तौर पर कहूँ तो, login समस्या का security incident से कोई संबंध नहीं है
      सभी customers और users को एक साथ notification भेजने से login attempts में भारी बढ़ोतरी हुई
      अगर अभी भी login समस्या है, तो कुछ मिनट बाद फिर कोशिश करें
      कृपया alerts page देखते रहें: https://www.mongodb.com/alerts
    • Login करने की कोशिश पर upstream request timeout आ रहा है
    • Google SSO पर भी यही अनुभव हो रहा है
  • Notice संक्षिप्त और मुद्दे पर है, यह अच्छा है
    यह साफ बताता है कि मामला अभी शुरुआती चरण में है, अभी तक ज्ञात scope क्या है, और जैसे-जैसे जानकारी आएगी follow-up updates मिलेंगे
    जब investigation स्पष्ट रूप से शुरुआती चरण में है, तो सिर्फ इसलिए MongoDB को दोषी ठहराने जैसा रवैया न हो कि उन्होंने ज्यादा जानकारी शामिल नहीं की

    • इसमें कहा गया है कि 13 तारीख को ही detect हुआ, और माना जा रहा है कि यह कुछ समय से चल रहा था
      User data तक पहुँचा गया या नहीं, यह भी वास्तव में पक्का नहीं लगता; ऐसा लग रहा है कि वे अभी जवाब नहीं दे रहे या बस "नहीं" कह रहे हैं, इसलिए स्पष्ट जवाब चाहिए
    • सहमत हूँ
      MongoDB की कई आलोचनाएँ होती हैं, लेकिन इस response में ईमानदारी, transparency, भरोसे के मामले में एक कदम पीछे हटकर सराहना करनी चाहिए
      काश दूसरी कंपनियाँ भी यही तरीका अपनाएँ; और क्योंकि उन्होंने इन principles को सीधे दिखाया है, MongoDB के साथ business करने की मेरी इच्छा और बढ़ी है
  • इसमें regularly rotate their MongoDB Atlas passwords लिखा है, क्या कोई context मैं miss कर रहा हूँ?
    या modern security teams सचमुच passwords को periodic रूप से बदलने की सलाह देती हैं?

    • Applications के लिए secrets को नियमित रूप से rotate करना अच्छा है
      Users को अपने passwords नियमित रूप से बदलने के लिए मजबूर करना उतना अच्छा नहीं है
  • अगर आप affected हैं, तो समझ नहीं आता कि system में unusual behaviour को कैसे monitor करें
    सिर्फ logs देखना काफी नहीं लगता

  • यह घटना अत्यधिक centralization के जोखिम को दिखाती है
    भले ही Atlas customers सीधे affected न हुए हों, notice के बाद website या support channels overwhelmed हो जाएँ तो चिंता होना स्वाभाविक है
    ऐसे मामलों में असली redundancy देने के लिए स्वतंत्र MongoDB DBaaS providers ज्यादा होने चाहिए, लेकिन SSPL license change की वजह से यह काफी सीमित हो गया
    उम्मीद है FerretDB एक practical alternative अच्छी तरह बना पाएगा

    • “अत्यधिक centralization” कहते हो? us-East-1 down होने तक इंतजार करो
  • आज मिला security notice कहता था कि MongoDB कुछ corporate systems पर unauthorized access की जाँच कर रहा है, और customer account metadata तथा contact information expose हुई है
    अभी तक उन्हें यह पता नहीं है कि customers ने MongoDB Atlas में जो data store किया है, वह expose हुआ है
    US Eastern Time के अनुसार बुधवार, 13 दिसंबर 2023 की शाम suspicious activity detect की गई, तुरंत incident response process शुरू किया गया, और माना जा रहा है कि detection से पहले कुछ समय तक access जारी रहा था
    Customers से social engineering और phishing attacks के प्रति सतर्क रहने को कहा गया, और अगर अभी तक नहीं किया है तो phishing-resistant multi-factor authentication और password rotation की सलाह दी गई; अतिरिक्त जानकारी mongodb.com/alerts पर update की जाएगी

    • मुझे भी वही email मिला
      शुक्र है कि असल में MongoDB Atlas इस्तेमाल नहीं करता
  • “आपका data सुरक्षित है। हमने उसे शुरू से disk पर लिखा ही नहीं।”

    • /dev/null web scale तक scale करता है
      https://youtube.com/watch?v=b2F-DItXtZs
    • 11 साल पहले का सवाल है, लेकिन अभी भी कायम है: "To what extent are 'lost data' criticisms still valid of MongoDB?" - https://stackoverflow.com/questions/10560834/to-what-extent-...
    • निष्पक्ष होकर कहें तो MongoDB काफी बेहतर हुआ है, लेकिन फिर भी यह मजेदार है
  • मैंने MongoDB कभी इस्तेमाल नहीं किया, पर जानना चाहता हूँ कि लोग दूसरे databases की जगह MongoDB क्यों चुनते हैं

    • यह बहुत flexible है
      Schema के हिसाब से develop नहीं करना पड़ता, इसलिए जैसे features और data को तेजी से बदलते समय migrations की चिंता ज्यादा नहीं करनी पड़ती
      तेजी से आगे बढ़ना चाहने वाले startups के लिए यह बड़ा फायदा है
      Queries application code जैसी दिखती हैं, इसलिए idea को SQL query में translate करने में दिमाग कम लगाना पड़ता है, और मेरे अनुभव में इससे कम fragile queries बनती हैं
      Injection attacks की भी तब तक ज्यादा चिंता नहीं करनी पड़ती जब तक आप जानबूझकर risky structure न बनाएँ, और मुझे लगता है SQL की तुलना में complex queries लिखना आसान है
      Type conversion भी field_name::timestamp जैसे platform-specific inline SQL functions के बजाय code में handle किया जा सकता है
      Query और development style के लिए एक single standard है, और SQL की तरह dialect-wise develop करना बहुत कम होता है
      ज्यादातर use cases में यह काफी अच्छी तरह और आसानी से scale करता है, और MongoDB का एक ही kind होने से किसी खास variant को लेकर dogmatic confusion की गुंजाइश भी कम रहती है
    • यह उस दौर का early player था जब सबको लगता था कि NoSQL document databases हर समस्या हल कर देंगे
    • MongoDB एक typical NoSQL option है
      अगर आपको flexible schema अच्छा लगता है तो MongoDB शानदार है, और अगर flexible schema बुरा लगता है तो यह खास नहीं है
      संक्षेप में बस यही है
    • On-premises, या ठीक कहें तो VPS पर इस्तेमाल कर रहा हूँ
      JSON documents store और handle करना आसान है
      अगर data tree जैसा है, तो बड़े documents के लिए भी यह काफी fit बैठता है
      अगर आप documents के बीच relationships पर निर्भर हैं तो SQL database बेहतर है, लेकिन कई मामलों में—असल में लगभग सभी सामान्य मामलों में—SQL-style relationships जरूरी नहीं होते
      MongoDB भी relationships handle करता है, लेकिन थोड़ा ज्यादा complex है
    • शुरू करना काफी आसान है
      MQL भी समझने में आसान है, और MongoDB को कुछ हद तक enjoyable बना देता है
      संदर्भ के लिए, मैं MongoDB में काम करता हूँ
  • आजकल लोग Postgres के बजाय MongoDB क्यों चुनते रहते हैं, यह जानना चाहता हूँ
    अगर मैं कुछ miss कर रहा हूँ तो सच में जानना चाहूँगा, और मैं JSON data के खिलाफ भी नहीं हूँ; Postgres में jsonb tables अक्सर इस्तेमाल करता हूँ

    • MongoDB इस्तेमाल करने की वजह यह है कि शुरू करना आसान है
      यह “database work” और “authentication” कर देता है
      मैंने इस flow से लड़ना छोड़ दिया है, और जब शुरुआती stage में MongoDB इस्तेमाल होते देखता हूँ तो तुरंत इसे संकेत मान लेता हूँ कि developers अभी भी training wheels लगाए हुए हैं