本アドバイザリは、MongoDBの脆弱性「MongoBleed」(CVE-2025-14847)がTP-Link Omadaコントローラーにどのような影響を与えるか、影響が発生する条件、および推奨される対策について説明します。
脆弱性の概要と影響:
MongoBleed(CVE-2025-14847)は、MongoDBにおけるzlib圧縮されたネットワークメッセージの処理に起因する重大かつ認証不要のメモリ情報漏えい脆弱性です。この欠陥により、初期化されていないヒープメモリが漏えいし、機密情報が外部に漏れる可能性があります。
CVSS v4.0 スコア:8.7 / 高
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N
Omadaコントローラーは影響を受けますか?
Omadaコントローラーは、特定の導入条件下でのみ影響を受けます。
以下のいずれかに該当する場合、影響を受ける可能性があります:
- コントローラーがクラスターモードで導入されている。
- omada.properties内でMongoDBのバインド設定が手動で変更され、「eap.mongod.host」が既定の127.0.0.1から、より広い、または外部からアクセス可能なインターフェースに変更されている。
- Linux ソフトウェアコントローラーを使用しており、ユーザー自身でMongoDBを導入していて、
- そのMongoDBのバージョンが脆弱であり、
- MongoDBが外部インターフェースで待ち受けている。
上記のいずれにも該当しない場合:
- リスクは限定的であり、既定の導入構成では悪用されません。
クラウドベースのコントローラーは影響を受けません。
影響を受けるバージョン:
|
製品 |
影響を受けるバージョン |
|
ハードウェアコントローラー |
|
|
OC200 V1 |
< OC200_V1_1.38.9 / Omada SDN 6.1.0 |
|
OC200 V2 |
< OC200_V2_2.23.9 / Omada SDN 6.1.0 |
|
OC220 V1 |
< OC220_V1_1.3.9 / Omada SDN 6.1.0 |
|
OC220 V2 |
< OC220_V2_2.2.5 / Omada SDN 6.1.0 |
|
OC300 V1 |
< OC300_V1_1.32.9 / Omada SDN 6.1.0 |
|
OC400 V1 |
< OC400_V1_1.10.9 / Omada SDN 6.1.0 |
|
ソフトウェアコントローラー |
|
|
Omada Network Application(Windows) |
< v6.1.0.18 |
|
Omada Network Application(Linux) |
ユーザーが導入した MongoDB に依存 |
影響条件のまとめ:
ハードウェアコントローラー/Windows ソフトウェアコントローラー
- 既定の導入設定では悪用不可。
- 以下の場合に影響を受ける可能性があります:
- クラスターモードが有効、または
- eap.mongod.host が手動で変更され、MongoDB が外部に公開されている。
Linux ソフトウェアコントローラー
- 影響はユーザーが導入した MongoDB のバージョンに依存します。
- 以下を確認してください:
- 導入している MongoDB のバージョン
- MongoDBが外部公開されているか
- zlib圧縮が有効かどうか
推奨事項および対策:
-
修正済みバージョンへのアップグレード(推奨)
ハードウェアコントローラーをクラスターモードで使用している場合、アップグレードを強く推奨します。
-
以下の Omada SDN 6.1.0 プレリリース版には修正が含まれています:
ハードウェアコントローラー:
OC200(UN)_V1_1.38.9_pre-release > Built-in Omada SDN Controller 6.1.0
OC200(UN)_V2_2.23.9_pre-release >Built-in Omada SDN Controller 6.1.0
OC220(UN)_V1_1.3.9_pre-release > Built-in Omada SDN Controller 6.1.0
OC220(UN)_V2_2.2.5_pre-release > Built-in Omada SDN Controller 6.1.0
OC300(UN)_V1_1.32.9_pre-release > Built-in Omada SDN Controller 6.1.0
OC400(UN)_V1_1.10.9_pre-release (Built-in Omada SDN Controller 6.1.0)
ソフトウェアコントローラー:
Omada_Network_Application_v6.1.0.18 Windows (Windows 10/11/Server, 64-bit Recommended)
Omada_Network_Application_v6.1.0.18_linux_x64.tar.gz
Omada_Network_Application_v6.1.0.18_linux_x64.deb
以下のBusiness Communityページから最新のプレリリースファームウェアも確認できます。
-
一時的な対策(すぐにアップグレードできない場合):
properties/omada.properties 内のeap.mongod.argsに以下を追加してください:
--networkMessageCompressors snappy
これによりzlib 圧縮が無効化され、MongoBleedの悪用を防止できます。
- ユーザー自身でMongoDBを導入しているLinux コントローラー:
MongoDB公式の案内に従ってMongoDBを必ずアップグレードしてください:
https://jira.mongodb.org/browse/SERVER-115508
修正済みのMongoDBバージョン:
8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32, 4.4.30
アップグレードに関する注意:
- 同一メジャーバージョン内の更新(例:7.0.14 → 7.0.28):互換性問題なし。
- メジャーバージョンをまたぐ更新(例:3.6 → 4.4):以下の追加手順に従ってください。
詳細は OmadaのアップグレードFAQを参照してください。
以下のBusiness Communityページから最新のプレリリースファームウェアも確認できます。
https://www.omadanetworks.com/us/support/faq/4398/
https://www.omadanetworks.com/us/support/faq/4160/
免責事項:
本アドバイザリで推奨されているすべての対策を実施しない場合、本脆弱性は残存します。本アドバイザリに従うことで回避可能であった結果について、TP-Link は一切の責任を負いません。
