Säkerhetsinformation / 2018 / Säkerhetsinformation -- DSA-4218-1 memcached

Säkerhetsbulletin från Debian

DSA-4218-1 memcached -- säkerhetsuppdatering

Rapporterat den:

2018-06-06

Berörda paket:

memcached

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 868701, Fel 894404.
I Mitres CVE-förteckning: CVE-2017-9951, CVE-2018-1000115, CVE-2018-1000127.

Ytterligare information:

Flera sårbarheter har upptäckts i memcached, ett högpresterande cachingsystem för minnesobjekt. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2017-9951

  Daniel Shapira rapporterade ett heap-baserat bufferöverskrivning i memcached (resultat från en ofullständig rättning för CVE-2016-8705) som triggas av speciellt skapade förfrågningar att lägga till/sätta en nyckel som tillåter fjärrangripare att orsaka en överbelastning.

• CVE-2018-1000115

  Det har rapporterats att memcached lyssnar på UDP som standard. En fjärrangripare kan dra fördel av detta för att använda memcached-tjänsten som en DDoS-förstärkare.

  Standardinstallationer av memcached i Debian påverkas inte av detta problem eftersom installationen som standard bara lyssnar på localhost. Denna uppdatering inaktiverar UDP-porten som standard. Lyssning på UDP-porten kan återaktiveras i /etc/memcached.conf (var vänlig se /usr/share/doc/memcached/NEWS.Debian.gz).

• CVE-2018-1000127

  Ett heltalsspill har rapporterats i memcached, vilket resulterar i resursspill, datakorruption, deadlocks eller krascher.

För den gamla stabila utgåvan (Jessie) har dessa problem rättats i version 1.4.21-1.1+deb8u2.

För den stabila utgåvan (Stretch) har dessa problem rättats i version 1.4.33-1+deb9u1.

Vi rekommenderar att ni uppgraderar era memcached-paket.

För detaljerad säkerhetsstatus om memcached vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/memcached