Bug #15571: Fixing various vulnerabilities by upgrading MongoDB to latest bugfix available.

Author: GiooDev

api/api-iam/iam/src/test/java/fr/gouv/vitamui/iam/server/customer/service/InitCustomerServiceIntegrationTest.java

@@ -75,7 +75,7 @@ public class InitCustomerServiceIntegrationTest {
     private static class CommonRepositoriesConfig {}
 
     @Container
-    private static final MongoDBContainer mongoDBContainer = new MongoDBContainer("mongo:8.0.8");
+    private static final MongoDBContainer mongoDBContainer = new MongoDBContainer("mongo:8.0.17");
 
     @DynamicPropertySource
     static void setProperties(DynamicPropertyRegistry registry) {

commons/commons-test/src/test/java/fr/gouv/vitamui/commons/test/AbstractMongoTests.java

@@ -34,7 +34,7 @@
 
 public class AbstractMongoTests {
 
-    private static final MongoDBContainer mongoDBContainer = new MongoDBContainer("mongo:8.0.8");
+    private static final MongoDBContainer mongoDBContainer = new MongoDBContainer("mongo:8.0.17");
 
     @BeforeAll
     static void startContainers() {

deployment/ansible-vitamui-migration/migration_mongodb_80.yml

@@ -44,7 +44,7 @@
   roles:
     - mongodb_upgrade_package
   vars:
-    mongo_version: 8.0.8
+    mongo_version: 8.0.17
     mongo_primary: false
   serial: 1
 
@@ -53,7 +53,7 @@
   roles:
     - mongodb_upgrade_package
   vars:
-    mongo_version: 8.0.8
+    mongo_version: 8.0.17
     mongo_primary: true
   serial: 1
 

deployment/roles/mongo/templates/mongod.conf.j2

@@ -38,10 +38,6 @@ net:
     pathPrefix: {{ mongo_tmp_path }}
     filePermissions: 0700
 
-  # Mitigate CVE-2025-14847 ("MongoBleed") by disabling zlib compressor
-  compression:
-    compressors: snappy,zstd
-
 # operationProfiling:
 replication:
   replSetName: shard{{ mongo_shard_id | default(0) }} # name of the replica set

deployment/roles/mongo/templates/vitamui-container-mongod.service.j2

@@ -4,7 +4,7 @@ Requires=docker.service
 After=docker.service
 
 [Service]
-ExecStartPre=-/usr/bin/docker pull {{ container_repository.registry_url }}/vitam-external/mongodb/mongodb-community-server:8.0.8-ubuntu2204
+ExecStartPre=-/usr/bin/docker pull {{ container_repository.registry_url }}/vitam-external/mongodb/mongodb-community-server:8.0.17-ubuntu2204
 ExecStartPre=-/usr/bin/docker stop vitamui-mongod
 ExecStartPre=-/usr/bin/docker rm vitamui-mongod
 ExecStart=/usr/bin/docker run --rm --net=host --name vitamui-mongod --user {{ getent_passwd[vitamui_defaults.users.vitamuidb | default('vitamuidb')].1 }}:{{ getent_passwd[vitamui_defaults.users.vitamuidb | default('vitamuidb')].2 }} \
@@ -15,7 +15,7 @@ ExecStart=/usr/bin/docker run --rm --net=host --name vitamui-mongod --user {{ ge
         -v "/vitamui/app/mongod:/vitamui/app/mongod:rw" \
         -v "/vitamui/tmp/mongod:/vitamui/tmp/mongod:rw" \
         -v /etc/localtime:/etc/localtime:ro \
-        {{ container_repository.registry_url }}/vitam-external/mongodb/mongodb-community-server:8.0.8-ubuntu2204 \
+        {{ container_repository.registry_url }}/vitam-external/mongodb/mongodb-community-server:8.0.17-ubuntu2204 \
         --config /vitamui/conf/mongod/mongod.conf \
         --dbpath /vitamui/data/mongod
 

docs/fr/migration/index.md

@@ -0,0 +1,19 @@
+# Documentation de montée de versions majeures Vitam-UI
+
+[Montée de version V5RC](./upgrade_v5rc.md)
+[Montée de version V5](./upgrade_v5.md)
+[Montée de version V6RC](./upgrade_v6rc.md)
+[Montée de version V6](./upgrade_v6.md)
+[Montée de version V7.1](./upgrade_v7_1.md)
+[Montée de version V8.0](./upgrade_v8_0.md)
+[Montée de version V8.1](./upgrade_v8_1.md)
+[Montée de version V9.0](./upgrade_v9_0.md)
+[Montée de version V9.1](./upgrade_v9_1.md)
+[Migration container](./migration_container.md)
+
+# Documentation de montée de versions mineures / bugfixes Vitam-UI
+
+[Montée de version V7.1](./update_v7_1.md)
+[Montée de version V8.0](./update_v8_0.md)
+[Montée de version V8.1](./update_v8_1.md)
+[Montée de version V9.0](./update_v9_0.md)

docs/fr/migration/update_v7_1.md

@@ -77,6 +77,19 @@ En cas de re-génération des certificats, ils doivent être mis à jour en base
 ansible-playbook -i environments/<inventaire> ansible-vitamui-exploitation/reinit_security_certificates.yml --ask-vault-pass
 ```
 
+### Mise à jour de MongoDB vers la version 7.0.28
+
+> **Attention**
+> Cette opération doit être effectuée après avoir mis à jour les dépôts Vitam en V7.1.
+> Cette opération est à effectuer si vous venez des versions de VitamUI suivante: V7.1.4-
+> Il est recommandé d'effectuer un backup de la base de données à l'aide de mongodump avant de poursuivre.
+
+Exécutez le playbook suivant à partir de l'ansiblerie de la V7.1 :
+
+```sh
+ansible-playbook -i environments/<inventaire> ansible-vitamui-migration/migration_mongodb_70.yml --ask-vault-pass
+```
+
 ### Arrêt complet de VitamUI
 
 ```sh

docs/fr/migration/update_v8_0.md

@@ -77,6 +77,19 @@ En cas de re-génération des certificats, ils doivent être mis à jour en base
 ansible-playbook -i environments/<inventaire> ansible-vitamui-exploitation/reinit_security_certificates.yml --ask-vault-pass
 ```
 
+### Mise à jour de MongoDB vers la version 7.0.28
+
+> **Attention**
+> Cette opération doit être effectuée après avoir mis à jour les dépôts Vitam en V8.0.
+> Cette opération est à effectuer si vous venez des versions de VitamUI suivante: V8.0.2-
+> Il est recommandé d'effectuer un backup de la base de données à l'aide de mongodump avant de poursuivre.
+
+Exécutez le playbook suivant à partir de l'ansiblerie de la V8.0 :
+
+```sh
+ansible-playbook -i environments/<inventaire> ansible-vitamui-migration/migration_mongodb_70.yml --ask-vault-pass
+```
+
 ### Arrêt complet de VitamUI
 
 ```sh

docs/fr/migration/update_v8_1.md

@@ -0,0 +1,54 @@
+# Mise à jour mineure / bugfix V8.1.x
+
+## Adaptation des sources de déploiement ansible
+
+N/A
+
+---
+
+## Procédures à exécuter AVANT la montée de version
+
+### Mise à jour des dépôts (YUM/APT)
+
+Afin de pouvoir déployer la nouvelle version, vous devez mettre à jour la variable ``vitam_repositories`` sous ``environments/group_vars/all/repositories.yml`` afin de renseigner les dépôts à la version cible.
+
+Puis exécutez le playbook suivant :
+
+```sh
+ansible-playbook -i environments/<inventaire> ansible-vitamui-extra/bootstrap.yml --ask-vault-pass
+```
+
+### Mise à jour de MongoDB vers la version 8.0.17
+
+> **Attention**
+> Cette opération doit être effectuée après avoir mis à jour les dépôts Vitam en V8.1.
+> Cette opération est à effectuer si vous venez des versions de VitamUI suivante: V8.1.2-
+> Il est recommandé d'effectuer un backup de la base de données à l'aide de mongodump avant de poursuivre.
+
+Exécutez le playbook suivant à partir de l'ansiblerie de la V8.1 :
+
+```sh
+ansible-playbook -i environments/<inventaire> ansible-vitamui-migration/migration_mongodb_80.yml --ask-vault-pass
+```
+
+### Arrêt complet de VitamUI
+
+```sh
+ansible-playbook -i environments/<inventaire> ansible-vitamui-exploitation/stop_vitamui.yml --ask-vault-pass
+```
+
+---
+
+## Application de la montée de version
+
+### Lancement du master playbook vitamui
+
+```sh
+ansible-playbook -i environments/<inventaire> ansible-vitamui/vitamui.yml --ask-vault-pass
+```
+
+---
+
+## Procédures à exécuter APRÈS la montée de version
+
+N/A

docs/fr/migration/update_v9_0.md

@@ -0,0 +1,54 @@
+# Mise à jour mineure / bugfix V9.0.x
+
+## Adaptation des sources de déploiement ansible
+
+N/A
+
+---
+
+## Procédures à exécuter AVANT la montée de version
+
+### Mise à jour des dépôts (YUM/APT)
+
+Afin de pouvoir déployer la nouvelle version, vous devez mettre à jour la variable ``vitam_repositories`` sous ``environments/group_vars/all/repositories.yml`` afin de renseigner les dépôts à la version cible.
+
+Puis exécutez le playbook suivant :
+
+```sh
+ansible-playbook -i environments/<inventaire> ansible-vitamui-extra/bootstrap.yml --ask-vault-pass
+```
+
+### Mise à jour de MongoDB vers la version 8.0.17
+
+> **Attention**
+> Cette opération doit être effectuée après avoir mis à jour les dépôts Vitam en V9.0.
+> Cette opération est à effectuer si vous venez des versions de VitamUI suivante: V9.0.0
+> Il est recommandé d'effectuer un backup de la base de données à l'aide de mongodump avant de poursuivre.
+
+Exécutez le playbook suivant à partir de l'ansiblerie de la V9.0 :
+
+```sh
+ansible-playbook -i environments/<inventaire> ansible-vitamui-migration/migration_mongodb_80.yml --ask-vault-pass
+```
+
+### Arrêt complet de VitamUI
+
+```sh
+ansible-playbook -i environments/<inventaire> ansible-vitamui-exploitation/stop_vitamui.yml --ask-vault-pass
+```
+
+---
+
+## Application de la montée de version
+
+### Lancement du master playbook vitamui
+
+```sh
+ansible-playbook -i environments/<inventaire> ansible-vitamui/vitamui.yml --ask-vault-pass
+```
+
+---
+
+## Procédures à exécuter APRÈS la montée de version
+
+N/A