Abo
  • Services:
Anzeige
Memcached hat mehrere Sicherheitslücken geschlossen.
Memcached hat mehrere Sicherheitslücken geschlossen. (Bild: Memcached)

Performance-Framework: Kritische Sicherheitslücken in Memcached geschlossen

Memcached hat mehrere Sicherheitslücken geschlossen.
Memcached hat mehrere Sicherheitslücken geschlossen. (Bild: Memcached)

Von einer Sicherheitslücke in einem beliebten Performance-Framework sind auch Dienste wie Facebook, Youtube und Reddit betroffen gewesen. Angreifer hätten auf dem Zielsystem Code ausführen können. Ein Patch und ein Workaround sind verfügbar.

Der Cisco-Mitarbeiter Aleksandar Nikolisch hat mehrere kritische Sicherheitslücken in der Software Memcached gefunden, die die Ausführung fremden Codes aus der Ferne ermöglichen. Memcached wird im Backend vieler Webseiten eingesetzt, um die Performance zu verbessern, unter anderem auch von großen Diensten wie Facebook, Twitter, Youtube und Reddit.

Anzeige

Das Memcached-Team hat die Sicherheitslücken mit einem aktuellen Release geschlossen, betroffen waren alle Versionen vor der Versionsnummer 1.4.31. Die drei vergebenen CVEs (CVE-2016-8704, CVE-2016-8705 und CVE-2016-8706) beziehen sich jeweils auf Integer Overflows, die ausgenutzt werden könnten, um Code auf dem Zielsystem auszuführen. Außerdem könnten Angreifer in der Lage sein, vertrauliche Prozessinformationen einzusehen und könnten damit Schutzmaßnahmen wie Adress Space Layout Randomization (ASLR) umgehen, schreibt der Talos-Forscher.

SASL ist ebenfalls betroffen

Die von dem Problem betroffenen Funktionen sind dafür zuständig, Key-Value-Datenpaare zu verarbeiten, zu modifizieren und anzufügen. Außerdem ist auf einigen Systemen die SASL-Funktion (Simple Authentication and Security Layer) angreifbar. SASL ist ein Authentifizierungs-Framework, das für zahlreiche Kommunikationsprotokolle wie SMTP, IMAP und XMPP genutzt wird.

Der auf den 31.10. datierte Patch verweist auf die Erkenntnisse von Talos und bietet einen Workaround an, falls ein Update gerade nicht eingespielt werden kann. Nutzer sollten Memcached dann mit dem Parameter "-B ascii -" starten, wenn sie das Binary-Protokoll von Memcached nutzen. Wer Snort nutzt, kann außerdem die Regel 40468-40483 anwenden, um die eigenen Systeme zu schützen.


eye home zur Startseite



Anzeige

Stellenmarkt
  1. Deutsche Telekom AG, Darmstadt
  2. operational services GmbH & Co. KG, Frankfurt
  3. Schaeffler Technologies AG & Co. KG, Herzogenaurach
  4. T-Systems International GmbH, Stuttgart, Leinfelden-Echterdingen


Anzeige
Top-Angebote
  1. 59,00€
  2. 219,00€
  3. 35,00€

Folgen Sie uns
       


  1. Blackberry

    Qualcomm muss fast 1 Milliarde US-Dollar zurückzahlen

  2. Surface Ergonomische Tastatur im Test

    Eins werden mit Microsofts Tastatur

  3. Russischer Milliardär

    Nonstop-Weltumrundung mit Solarflugzeug geplant

  4. BMW Motorrad Concept Link

    Auch BMW plant Elektromotorrad

  5. Solar Roof

    Teslas Sonnendachziegel bis Ende 2018 ausverkauft

  6. Cortex-A75

    ARM bringt CPU-Kern für Windows-10-Geräte

  7. Cortex-A55

    ARMs neuer kleiner Lieblingskern

  8. Mali-G72

    ARMs Grafikeinheit für Deep-Learning-Smartphones

  9. Service

    Telekom verspricht kürzeres Warten auf Techniker

  10. BVG

    Fast alle U-Bahnhöfe mit offenem WLAN



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Debatte nach Wanna Cry: Sicherheitslücken veröffentlichen oder zurückhacken?
Debatte nach Wanna Cry
Sicherheitslücken veröffentlichen oder zurückhacken?
  1. Sicherheitslücke Fehlerhaft konfiguriertes Git-Verzeichnis bei Redcoon
  2. Hotelketten Buchungssystem Sabre kompromittiert Zahlungsdaten
  3. Onlinebanking Betrüger tricksen das mTAN-Verfahren aus

Sphero Lightning McQueen: Erst macht es Brummbrumm, dann verdreht es die Augen
Sphero Lightning McQueen
Erst macht es Brummbrumm, dann verdreht es die Augen

Quantencomputer: Nano-Kühlung für Qubits
Quantencomputer
Nano-Kühlung für Qubits
  1. IBM Q Mehr Qubits von IBM
  2. Quantencomputer Was sind diese Qubits?
  3. Verschlüsselung Kryptographie im Quantenzeitalter

  1. Re: Akkuproblem noch viel schlimmer als bei PKW!

    rocketrides | 09:48

  2. Re: Ist das nicht Energieverschwendung?

    Thaodan | 09:47

  3. Re: Festplatten oder andere Elektronik im Auto...

    der_wahre_hannes | 09:47

  4. Re: Mittelmäßig nützlich, ersetzt kein LTE

    Spaghetticode | 09:45

  5. Ich wünsche mir eine Tastatur...

    Patman | 09:45


  1. 09:12

  2. 09:10

  3. 08:57

  4. 08:08

  5. 07:46

  6. 06:00

  7. 06:00

  8. 06:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel