Säkerhetsinformation / 2014 / Säkerhetsinformation -- DSA-2832-1 memcached

Säkerhetsbulletin från Debian

DSA-2832-1 memcached -- flera sårbarheter

Rapporterat den:

2014-01-01

Berörda paket:

memcached

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 706426, Fel 733643.
I Mitres CVE-förteckning: CVE-2011-4971, CVE-2013-7239.

Ytterligare information:

Flera sårbarheter har upptäckts i memcached, ett högpresterande minnesobjektcachningssystem. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2011-4971

  Stefan Bucur rapporterade att memcached kunde fås att krascha genom att skicka ett speciellt skapat paket.

• CVE-2013-7239

  Det rapporterades att SASL-autentisering kunde förbigås tack vare ett problem relaterat till hanteringen av SASL-autentiseringsläget. Med en speciellt skapad förfrågan kunde en fjärrangripare ha möjlighet att autentisera sig med ogiltiga SASL-referenser.

För den gamla stabila utgåvan (Squeeze) har dessa problem rättats i version 1.4.5-1+deb6u1. Notera att patchen för CVE-2013-7239 inte applicarades för den gamla stabila utgåvan eftersom SASL-stöd inte är aktiverat i denna version. Denna updatering tillhandahåller även en rättning för CVE-2013-0179 som redan har rättats i den stabila utgåvan.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 1.4.13-0.2+deb7u1.

För den instabila utgåvan (Sid) kommer dessa problem att rättas inom kort.

Vi rekommenderar att ni uppgraderar era memcached-paket.