Säkerhetsbulletin från Debian
DSA-4218-1 memcached -- säkerhetsuppdatering
- Rapporterat den:
- 2018-06-06
- Berörda paket:
- memcached
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 868701, Fel 894404.
I Mitres CVE-förteckning: CVE-2017-9951, CVE-2018-1000115, CVE-2018-1000127. - Ytterligare information:
-
Flera sårbarheter har upptäckts i memcached, ett högpresterande cachingsystem för minnesobjekt. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2017-9951
Daniel Shapira rapporterade ett heap-baserat bufferöverskrivning i memcached (resultat från en ofullständig rättning för CVE-2016-8705) som triggas av speciellt skapade förfrågningar att lägga till/sätta en nyckel som tillåter fjärrangripare att orsaka en överbelastning.
- CVE-2018-1000115
Det har rapporterats att memcached lyssnar på UDP som standard. En fjärrangripare kan dra fördel av detta för att använda memcached-tjänsten som en DDoS-förstärkare.
Standardinstallationer av memcached i Debian påverkas inte av detta problem eftersom installationen som standard bara lyssnar på localhost. Denna uppdatering inaktiverar UDP-porten som standard. Lyssning på UDP-porten kan återaktiveras i /etc/memcached.conf (var vänlig se /usr/share/doc/memcached/NEWS.Debian.gz).
- CVE-2018-1000127
Ett heltalsspill har rapporterats i memcached, vilket resulterar i resursspill, datakorruption, deadlocks eller krascher.
För den gamla stabila utgåvan (Jessie) har dessa problem rättats i version 1.4.21-1.1+deb8u2.
För den stabila utgåvan (Stretch) har dessa problem rättats i version 1.4.33-1+deb9u1.
Vi rekommenderar att ni uppgraderar era memcached-paket.
För detaljerad säkerhetsstatus om memcached vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/memcached
- CVE-2017-9951