セキュリティ情報 / 2014 / セキュリティ情報 -- DSA-2832-1 memcached

Debian セキュリティ勧告

DSA-2832-1 memcached -- 複数の脆弱性

報告日時:

2014-01-01

影響を受けるパッケージ:

memcached

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 706426, バグ 733643.
Mitre の CVE 辞書: CVE-2011-4971, CVE-2013-7239.

詳細:

複数の脆弱性が memcached、高性能メモリオブジェクトキャッシュシステムに見つかりました。The Common Vulnerabilities and Exposures project は以下の問題を認識しています:

• CVE-2011-4971

  Stefan Bucur さんが、特別に細工したパケットを送ることにより memcached がクラッシュする可能性を報告しています。

• CVE-2013-7239

  SASL 認証状態の管理に関連する欠陥のために SASL 認証を迂回できる可能性が報告されています。 特別に細工したリクエストにより、リモートの攻撃者が不正な SASL 資格情報を利用して認証できる可能性があります。

旧安定版 (oldstable) ディストリビューション (squeeze) では、この問題はバージョン 1.4.5-1+deb6u1 で修正されています。CVE-2013-7239 のパッチは旧安定版 (oldstable) ディストリビューションには適用されていないことに注意してください。このバージョンでは SASL サポートが有効化されていないためです。この更新では、安定版 (stable) では既に修正されている CVE-2013-0179 の修正についても提供しています。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 1.4.13-0.2+deb7u1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) ではこの問題は近く修正予定です。

直ちに memcached パッケージをアップグレードすることを勧めます。