NetMan Desktop Manager Knowledgebase
Tags NetMan.Education Module NetMan.Desktop Manager
Sicherheitslücke MongoBleed (CVE-2025-14847) in NetMan for Schools Version 6
NetMan for Schools verwendet MongoDB als Datenbank für das Speichern von allen wesentlichen Daten innerhalb von NetMan for Schools. Die Datenbank MongoDB Versionen 6.0.21 / 5.0.9 sind von der Sicherheitslücke MongoBleed CVE-2025-14847 betroffen.
Betroffen bei der Sicherheitslücke ist die zlib-Kompression der Datenbank, über die Angriffe auf die Datenbank durchgeführt werden können. Es wird nur eine Netzwerkverbindung ohne weitere Voraussetzungen für den Angriff benötigt.
Sicherheitseinschätzung
Ein Angriff einer NetMan for Schools Installation über das Internet ist ausgeschlossen, da die Datenbank über das Internet nicht erreichbar ist. Ein erfolgreicher Angriff kann nur aus dem Pädagogischen Netzwerk erfolgen.
Maßnahmen
Kompression mit snappy erzwingen
Kurzfristig kann die Kompression über zlib deaktiviert werden. Bitte setzten Sie sich dazu mit dem Support in Verbindung.
Die verwendeten Kompressionen können in der Datei mongod.conf eingestellt werden. Über die NetMan Systemeinstellungen kann die Konfigurationsdatei einfach geöffnet und angepasst werden. Anschließend wird der Datenbankdienst neu gestartet.
### config net
net:
port: 27017 # database port to use (default: 27017) - this key is changed with port settings in HH-Systemsettings!
ipv6: true
bindIpAll: true
compression:
compressors: snappy
Hinweis: Es handelt sich um das Format einer "YAML" Datei. D.h. der Eintrag "compression:" muss exakt ein Zeichen eingerückt sein, und der Eintrag "compressors: snappy" muss genau zwei Zeichen eingerückt sein! Schreibweisen mit Tabulatoren oder abweichender Anzahl von Einrückungen können dazu führen, dass die Datenbank nicht mehr startet.
Hinweis: Da die Datenbank neu gestartet werden muss, sollten die Änderungen außerhalb der Unterrichtszeit durchgeführt werden.
Update auf die NetMan for Schools Version 6.4.0.87
Mit dem Update von NetMan for Schools auf die Version 6.4.0.87 wird die Datenbank MongoDB auf die Version 6.0.27 aktualisiert, die diese Sicherheitslücke beseitigt.