Hlavní navigace

Memcached má tři vážné zranitelnosti umožňující vyčtení dat

Petr Krčmář 2. 11. 2016

Aleksandar Nikolich z Cisco Talos Group objevil tři vážné zranitelnosti v oblíbeném nástroji Memcached, který obvykle slouží ke zrychlení načítání dynamických webů pomocí jejich kešování v paměti serveru.

Chyby jsou typu integer overflow a nacházejí se v různých klíčových funkcích sloužících k manipulaci s datovými páry klíč-hodnota. Úspěšný útočník může chyby zneužít k vyčtení citlivých dat z keše nebo data v paměti nahradit vlastními. Jde o následující tři zranitelnosti:

  • CVE-2016–8704: Memcached Server Append/Prepend Remote Code Execution Vulnerability
  • CVE-2016–8705: Memcached Server Update Remote Code Execution Vulnerability
  • CVE-2016–8706: Memcached Server SASL Authentication Remote Code Execution Vulnerability

Jde o poměrně velký bezpečnostní problém, protože Memcached používají obrovské projekty jako Facebook, Flickr, Twitter, Reddit, YouTube, Github a další. Vývojáři Memcached uvádějí, že se problém týká binárního protokolu a jeho SASL autentizace. Doporučuje se proto zavřít TCP port 11211 před světem a co nejdříve aktualizovat na opravenou verzi 1.4.33.

Našli jste v článku chybu?
Vitalia.cz: „Připluly“ z Německa a možná obsahují jed

„Připluly“ z Německa a možná obsahují jed

Lupa.cz: Slevové šílenství je tu. Kde nakoupit na Black Friday?

Slevové šílenství je tu. Kde nakoupit na Black Friday?

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

120na80.cz: Bojíte se encefalitidy?

Bojíte se encefalitidy?

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

120na80.cz: Jak oddálit Alzheimera?

Jak oddálit Alzheimera?

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

Podnikatel.cz: Prodává přes internet. Kdy platí zdravotko?

Prodává přes internet. Kdy platí zdravotko?

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET