Abo
  • Services:
Anzeige
Memcached hat mehrere Sicherheitslücken geschlossen.
Memcached hat mehrere Sicherheitslücken geschlossen. (Bild: Memcached)

Performance-Framework: Kritische Sicherheitslücken in Memcached geschlossen

Memcached hat mehrere Sicherheitslücken geschlossen.
Memcached hat mehrere Sicherheitslücken geschlossen. (Bild: Memcached)

Von einer Sicherheitslücke in einem beliebten Performance-Framework sind auch Dienste wie Facebook, Youtube und Reddit betroffen gewesen. Angreifer hätten auf dem Zielsystem Code ausführen können. Ein Patch und ein Workaround sind verfügbar.

Der Cisco-Mitarbeiter Aleksandar Nikolisch hat mehrere kritische Sicherheitslücken in der Software Memcached gefunden, die die Ausführung fremden Codes aus der Ferne ermöglichen. Memcached wird im Backend vieler Webseiten eingesetzt, um die Performance zu verbessern, unter anderem auch von großen Diensten wie Facebook, Twitter, Youtube und Reddit.

Anzeige

Das Memcached-Team hat die Sicherheitslücken mit einem aktuellen Release geschlossen, betroffen waren alle Versionen vor der Versionsnummer 1.4.31. Die drei vergebenen CVEs (CVE-2016-8704, CVE-2016-8705 und CVE-2016-8706) beziehen sich jeweils auf Integer Overflows, die ausgenutzt werden könnten, um Code auf dem Zielsystem auszuführen. Außerdem könnten Angreifer in der Lage sein, vertrauliche Prozessinformationen einzusehen und könnten damit Schutzmaßnahmen wie Adress Space Layout Randomization (ASLR) umgehen, schreibt der Talos-Forscher.

SASL ist ebenfalls betroffen

Die von dem Problem betroffenen Funktionen sind dafür zuständig, Key-Value-Datenpaare zu verarbeiten, zu modifizieren und anzufügen. Außerdem ist auf einigen Systemen die SASL-Funktion (Simple Authentication and Security Layer) angreifbar. SASL ist ein Authentifizierungs-Framework, das für zahlreiche Kommunikationsprotokolle wie SMTP, IMAP und XMPP genutzt wird.

Der auf den 31.10. datierte Patch verweist auf die Erkenntnisse von Talos und bietet einen Workaround an, falls ein Update gerade nicht eingespielt werden kann. Nutzer sollten Memcached dann mit dem Parameter "-B ascii -" starten, wenn sie das Binary-Protokoll von Memcached nutzen. Wer Snort nutzt, kann außerdem die Regel 40468-40483 anwenden, um die eigenen Systeme zu schützen.


eye home zur Startseite



Anzeige

Stellenmarkt
  1. RAIR Bürotechnik GmbH, Chemnitz
  2. Genossenschaftsverband Bayern e.V., München
  3. Smartexposé GmbH, Berlin-Kreuzberg
  4. ING-DiBa AG, Nürnberg


Anzeige
Blu-ray-Angebote
  1. (u. a. Drive 7,79€, John Wick: Kapitel 2 9,99€ und Predator Collection 17,49€)
  2. 79,98€ (Vorbesteller-Preisgarantie)
  3. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)

Folgen Sie uns
       


  1. Apple Watch

    WatchOS-1-App-Updates gibt es bis zum April 2018

  2. ZDF mit 4K-UHD

    Bergretter und Bergdoktoren werden in HLG-HDR ausgestrahlt

  3. Star Wars Battlefront 2

    Macht und Mikrotransaktionen

  4. Tether

    Kryptowährungsstartup verliert 31 Millionen Dollar

  5. Time Warner

    Trump-Regierung will Milliardenübernahme durch AT&T stoppen

  6. Way of the Future

    Man kann Kirche nicht ohne KI schreiben

  7. Asus Transformer Mini

    Windows-Tablet mit Tastaturhülle kostet 380 Euro

  8. Mainboard

    Intel will ab 2020 nur noch UEFI statt Bios

  9. Sackgasse

    EU-Industriekommissarin sieht Diesel am Ende

  10. Riesenbestellung

    Uber will mit 24.000 Volvo autonom Taxi fahren



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Gaming-Smartphone im Test: Man muss kein Gamer sein, um das Razer Phone zu mögen
Gaming-Smartphone im Test
Man muss kein Gamer sein, um das Razer Phone zu mögen
  1. Razer Phone im Hands on Razers 120-Hertz-Smartphone für Gamer kostet 750 Euro
  2. Kiyo und Seiren X Razer bringt Ringlicht-Webcam für Streamer
  3. Razer-CEO Tan Gaming-Gerät für mobile Spiele soll noch dieses Jahr kommen

Firefox 57: Viel mehr als nur ein Quäntchen schneller
Firefox 57
Viel mehr als nur ein Quäntchen schneller
  1. Mozilla Wenn Experimente besser sind als Produkte
  2. Firefox 57 Firebug wird nicht mehr weiterentwickelt
  3. Mozilla Firefox 56 macht Hintergrund-Tabs stumm

Smartphoneversicherungen im Überblick: Teuer und meistens überflüssig
Smartphoneversicherungen im Überblick
Teuer und meistens überflüssig
  1. Winphone 5.0 Trekstor will es nochmal mit Windows 10 Mobile versuchen
  2. Librem 5 Das freie Linux-Smartphone ist finanziert
  3. Aquaris-V- und U2-Reihe BQ stellt neue Smartphones ab 180 Euro vor

  1. Re: VR ist tot

    Dwalinn | 11:20

  2. Re: Selbst 3 oder 4 mal intelligenter

    slead | 11:19

  3. Re: Ganz schön wertende Aussage

    Trollversteher | 11:18

  4. Re: Replace Your Exploit-Ridden Firmware with Linux

    Izmir Übel | 11:18

  5. Re: Also wieder nur umbauten

    Ach | 11:18


  1. 11:34

  2. 11:20

  3. 11:05

  4. 10:50

  5. 10:35

  6. 10:26

  7. 08:53

  8. 08:38


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel