Bulletin d'alerte Debian

DLA-701-1 memcached -- Mise à jour de sécurité pour LTS

Date du rapport :
5 novembre 2016
Paquets concernés :
memcached
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 735314, Bogue 842811, Bogue 842812, Bogue 842814.
Dans le dictionnaire CVE du Mitre : CVE-2013-7291, CVE-2016-8704, CVE-2016-8705, CVE-2016-8706.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans memcached, un système de gestion d'objets en mémoire de haute performance. Un attaquant distant pourrait tirer avantage de ces défauts pour provoquer un déni de service (plantage du démon), ou éventuellement pour exécuter du code arbitraire.

  • CVE-2013-7291

    memcached, lors d'une exécution en mode bavard, peut être planté en envoyant des requêtes soigneusement contrefaites qui déclenchent un affichage de clés illimité, avec pour conséquence un plantage du démon.

  • CVE-2016-8704 / CVE-2016-8705 / CVE-2016-8706

    Aleksandar Nikolic de Cisco Talos a découvert plusieurs vulnérabilités dans memcached. Un attaquant distant pourrait provoquer un dépassement d'entier en envoyant des requêtes soigneusement contrefaites au serveur memcached, avec pour conséquence un plantage du démon.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1.4.13-0.2+deb7u2.

Nous vous recommandons de mettre à jour vos paquets memcached.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.