Säkerhetsbulletin från Debian

DSA-4218-1 memcached -- säkerhetsuppdatering

Rapporterat den:
2018-06-06
Berörda paket:
memcached
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 868701, Fel 894404.
I Mitres CVE-förteckning: CVE-2017-9951, CVE-2018-1000115, CVE-2018-1000127.
Ytterligare information:

Flera sårbarheter har upptäckts i memcached, ett högpresterande cachingsystem för minnesobjekt. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2017-9951

    Daniel Shapira rapporterade ett heap-baserat bufferöverskrivning i memcached (resultat från en ofullständig rättning för CVE-2016-8705) som triggas av speciellt skapade förfrågningar att lägga till/sätta en nyckel som tillåter fjärrangripare att orsaka en överbelastning.

  • CVE-2018-1000115

    Det har rapporterats att memcached lyssnar på UDP som standard. En fjärrangripare kan dra fördel av detta för att använda memcached-tjänsten som en DDoS-förstärkare.

    Standardinstallationer av memcached i Debian påverkas inte av detta problem eftersom installationen som standard bara lyssnar på localhost. Denna uppdatering inaktiverar UDP-porten som standard. Lyssning på UDP-porten kan återaktiveras i /etc/memcached.conf (var vänlig se /usr/share/doc/memcached/NEWS.Debian.gz).

  • CVE-2018-1000127

    Ett heltalsspill har rapporterats i memcached, vilket resulterar i resursspill, datakorruption, deadlocks eller krascher.

För den gamla stabila utgåvan (Jessie) har dessa problem rättats i version 1.4.21-1.1+deb8u2.

För den stabila utgåvan (Stretch) har dessa problem rättats i version 1.4.33-1+deb9u1.

Vi rekommenderar att ni uppgraderar era memcached-paket.

För detaljerad säkerhetsstatus om memcached vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/memcached