Bulletin d'alerte Debian

DLA-1033-1 memcached -- Mise à jour de sécurité pour LTS

Date du rapport :
20 juillet 2017
Paquets concernés :
memcached
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-9951.
Plus de précisions :

Il existait une vulnérabilité de déni de service dans memcached, un système de mise en cache d’objets mémoire de haute performance.

La fonction try_read_command permettait à des attaquants distants de provoquer un déni de service à l'aide d'une requête pour ajouter ou régler une clef, qui réalise une comparaison entre un entier signé ou non signé qui déclenchait une lecture hors limites de tampon basé sur le tas.

Cette vulnérabilité existait à cause d’un correctif incomplet pour le CVE-2016-8705.

Pour Debian 7 Wheezy, ce problème a été corrigé dans la version 1.4.13-0.2+deb7u3 de memcached.

Nous vous recommandons de mettre à jour vos paquets memcached.