NetMan Desktop Manager Knowledgebase
Tags HAN.V5
Sicherheitslücke MongoBleed (CVE-2025-14847) in HAN 5
Obwohl die in HAN 5 verwendete Datenbank von der Sicherheitslücke CVE-2025-14847 betroffen ist, ist das HAN System trotzdem nicht gefährdet.
HAN 5 verwendet die MongoDB Version 3.4, die offiziell als EOL (End of Life) gekennzeichnet ist. Damit wird für die Version auch kein Sicherheitsfix vom Hersteller MongoDB bereitgestellt.
Ergänzung: 15.01.2026:
Eine weitere Recherche hat ergeben, dass die betroffene ZLIB Bibliothek erst in der Mongo DB Version 3.6 eingeführt wurde. Details dazu können Sie auf folgender Seite nachlesen: Optimize MongoDB Storage: Compression, Indexing, and TTL Best Practices
Die in HAN verwendete Konfiguration der MongoDB stellt jedoch sicher, dass die in der CVE beschreibene Sicherheitslücke nicht ausgenutzt werden kann. Seit HAN 5.1 wird die Datenbank standardmäßig so konfiguriert, dass sie nur auf dem Server selbst angesprochen werden kann. Technisch bedeutet dass, das die Datenbank nur auf die IP Adresse 127.0.0.1 (localhost) gebunden ist und deshalb von extern nicht angesprochen werden kann. Die in der CVE beschriebene Sicherheitslücke kann jedoch nur über die IP Kommunikation direkt mit der Datenbank missbraucht werden.
Die Architektur in HAN 5 stellt sicher, dass die gesamte Kommunikation über einen zusätzlich abgesicherten HTTPS Kanal zum HAN Server aus den HAN Komponenten erfolgt. Die zusätzlichen Sicherheitsmethoden stellen sicher, dass nur die HAN Komponenten über den HTTPS Kanal mit der Datenbank kommunizieren können.
Zusätzlich haben Sie die Möglichkeit, in der Einstellung der Datenbank selbst den kritischen Komprimierungsalgorithmus zu deaktivieren.
Öffnen Sie dazu auf dem HAN Server die HAN Systemeinstellungen und wählen Sie dort die Option "DB-Konfiguration". Klicken Sie dort auf die Schaltfläche mit den drei Punkten in der Spalte "Konfiguration":
In der Konfiguartionsdatei ergänzen Sie bitte in der Sektion "net" folgende rot geschriebenen Einträge:
### config net
net:
port: 27017 # database port to use (default: 27017) - this key is changed with port settings in HH-Systemsettings!
ipv6: false
bindIp: localhost
compression:
compressors: snappy
Hinweis: Es handelt sich um das Format einer "YAML" Datei. D.h. der Eintrag "compression:" muss exakt ein Zeichen eingerückt sein, und der Eintrag "compressors: snappy" muss genau zwei Zeichen eingerückt sein! Schreibweisen mit Tabulatoren oder abweichender Anzahl von Einrückungen können dazu führen, dass die Datenbank nicht mehr startet.
Speichern Sie anschließend die Änderung und starten Sie über HAN-Systemeinstellungen die Datenbank neu um die Änderung umzusetzen.