Sikkerhedsoplysninger / 2014 / Sikkerhedsoplysninger -- DSA-2832-1 memcached

Debians sikkerhedsbulletin

DSA-2832-1 memcached -- flere sårbarheder

Rapporteret den:

1. jan 2014

Berørte pakker:

memcached

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 706426, Fejl 733643.
I Mitres CVE-ordbog: CVE-2011-4971, CVE-2013-7239.

Yderligere oplysninger:

Flere sårbarheder er fundet i memcached, et højtydende system til caching af hukommelsesobjekter. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

• CVE-2011-4971

  Stefan Bucur rapporterede, at memcached kunne bringes til at gå ned, ved at sende en særligt fremstillet pakke.

• CVE-2013-7239

  Der blev rapporteret, at SASL-autentifikation kunne omgås på grund af en fejl i forbindelse med håndtering af SASL-autentifikationstilstanden. Med en særligt fremstillet forespørgsel, kunne en fjernangriber måske blive autentificeret med ugyldige SASL-brugeroplysninger.

I den gamle stabile distribution (squeeze), er disse problemer rettet i version 1.4.5-1+deb6u1. Bemærk at rettelsen til CVE-2013-7239 ikke er taget i brug i den gamle stabile distribution, da SASL-understøttelse ikke er aktiveret i den version. Opdateringen indeholder også en rettelse af CVE-2013-0179, som allerede var rettet i den stabile udgave.

I den stabile distribution (wheezy), er disse problemer rettet i version 1.4.13-0.2+deb7u1.

I den ustabile distribution (sid), vil disse problemer snart blive rettet.

Vi anbefaler at du opgraderer dine memcached-pakker.