@wildcat007

近日安全团队经检测发现部分阿里云用户存在 MongoDB 数据库未授权访问漏洞，漏洞危害严重，可以导致数据库数据泄露或被删除勒索，从而造成严重的生产事故。为保证您的业务和应用的安全，提供以下修复漏洞指导方案。

具体漏洞详情如下：

1.漏洞危害

开启 MongoDB 服务时不添加任何参数时,默认是没有权限验证的,登录的用户可以通过默认端口无需密码对数据库任意操作（增、删、改、查高危动作）而且可以远程访问数据库。

2.漏洞成因

在刚安装完毕的时候 MongoDB 都默认有一个 admin 数据库,此时 admin 数据库是空的,没有记录权限相关的信息！当 admin.system.users 一个用户都没有时，即使 mongod 启动时添加了— auth 参数,如果没有在 admin 数据库中添加用户,此时不进行任何认证还是可以做任何操作(不管是否是以— auth 参数启动),直到在 admin.system.users 中添加了一个用户。加固的核心是只有在 admin.system.users 中添加用户之后， mongodb 的认证,授权服务才能生效。

阿里云官方发布的： https://help.aliyun.com/knowledge_detail/37451.html

好了，看到你帖子，我也中招了，一脸懵逼： https://www.v2ex.com/t/338079#reply1

懵逼链接： https://www.v2ex.com/t/338057#reply31

github ， bitbucket

@hoythan 赶紧出啊，到时候 750 都出不到，别人出你就 750 拖一车，别人要了你说又要看行情，这不是坑么

违背小龙的初衷真的好么？说好的随到随用，为嘛还要让我去你的商店。

二次元的太多，晒个壁纸滚了。


有没有想要耳机的，拼个单。我想买 iPhone7

如果楼主重视匹配算法，可以看看 [如故] ，号称 soulmate 。不过我不看好这款产品。

@kalman03 匹配算法不重要。假设你的匹配算法完美运行了，系统抛给你一个随机女性用户，你怎么才能玩的开心？匹配上就让人很开心？我想应该不是，难道不是匹配后，能让我们聊的开心才开心吗？聊天是即时的，论坛是可以沉淀，用户是可以回头来看的，这区别很大。去复盘陌陌和探探就看的更明白了。

陌生人社交潜力巨大，目前的探探陌陌我认为都不是真正意义上的陌生人社交。期待一个更好的陌生人产品。