MongoDB 보안 취약점(CVE-2025-14847) 업데이트 권고(2025.12.29)
안녕하세요, 카페24 호스팅센터입니다.
고객님의 안정적인 서비스 운영을 위해 MongoDB의 최신 보안 업데이트를 권고드립니다.
업데이트 상세 내용
- 대상 서비스:
- 퀵서버호스팅
- 가상서버호스팅
- 이지업 서버호스팅
- 개요: MongoDB의 zlib 압축 프로토콜에서 초기화되지 않은 힙 메모리 반환 취약점이 발견되었습니다. (CVE-2025-14847, CVSS 8.7)
- 위험: 인증되지 않은 외부 공격자가 이를 악용할 경우 서버의 민감 정보가 유출되거나 시스템이 비정상적으로 동작할 위험이 있습니다.
1. 대상 여부 확인 (Self-Check)
모든 고객이 대상은 아닙니다. 아래 절차에 따라 직접 설치한 MongoDB의 버전을 먼저 확인해 주세요.
- 확인 방법 1 (터미널): 서버 접속 후
mongod --version입력 - 확인 방법 2 (DB 셸): 접속 후
db.version()입력
확인된 버전이 아래 영향받는 버전에 해당한다면 조치가 필요합니다. (해당하지 않거나 MongoDB를 사용하지 않는다면 별도 조치가 필요 없습니다.)
2. 영향받는 버전 및 해결 버전
| 제품군 | 영향받는 버전 | 해결 버전 |
|---|---|---|
| MongoDB 8.2 | 8.2.0 이상 ~ 8.2.3 미만 | 8.2.3 |
| MongoDB 8.0 | 8.0.0 이상 ~ 8.0.17 미만 | 8.0.17 |
| MongoDB 7.0 | 7.0.0 이상 ~ 7.0.28 미만 | 7.0.28 |
| MongoDB 6.0 | 6.0.0 이상 ~ 6.0.27 미만 | 6.0.27 |
| MongoDB 5.0 | 5.0.0 이상 ~ 5.0.32 미만 | 5.0.32 |
| MongoDB 4.4 | 4.4.0 이상 ~ 4.4.30 미만 | 4.4.30 |
| Legacy (구버전) | v4.2 / v4.0 / v3.6 전체 | 4.4.30 이상으로 마이그레이션 |
3. 조치 방법 가이드
① 보안 업데이트 실행 (권장)
※ 주의: 업데이트 진행 전, 만약의 상황에 대비하여 반드시 데이터를 백업하시기 바랍니다.
Ubuntu / Debian 계열:
sudo apt update
sudo apt install --only-upgrade mongodb-org
sudo systemctl restart mongod
CentOS / Rocky / AlmaLinux 계열:
sudo yum update mongodb-org
sudo systemctl restart mongod
② 임시 완화 조치 (업그레이드가 당장 어려운 경우)
취약점의 원인이 되는 zlib 압축 기능을 비활성화하여 위험을 낮출 수 있습니다.
- 방법: MongoDB 실행 옵션이나 설정 파일(
mongod.conf)에서 압축 옵션을 변경합니다. - 설정 예시:
net.compression.compressors: "snappy,zstd"(zlib 제외)
4. 자주 묻는 질문 (FAQ)
Q. 모든 서버호스팅 고객이 대상인가요?
A. 아닙니다. 고객님이 서버에 직접 MongoDB를 설치하여 운영 중인 경우에만 해당합니다. 사용하지 않으신다면 무시하셔도 됩니다.
Q. 카페24에서 대신 업데이트를 해주나요?
A. 서버호스팅은 고객님이 관리 권한을 갖는 서비스로, 보안 가이드 제공 외에 내부 데이터나 설정 변경은 고객님이 직접 수행해 주셔야 합니다.
Q. 업데이트를 하지 않으면 어떻게 되나요?
A. 인증 없이도 서버 메모리의 민감 정보가 노출될 수 있는 고위험 취약점(CVSS 8.7)이 존재하게 됩니다. 가급적 빠른 시일 내에 패치를 권장합니다.
5. 참고자료
더 나은 서비스를 제공하기 위해 항상 노력하겠습니다.
감사합니다.