Abo
  • Services:

Performance-Framework: Kritische Sicherheitslücken in Memcached geschlossen

Von einer Sicherheitslücke in einem beliebten Performance-Framework sind auch Dienste wie Facebook, Youtube und Reddit betroffen gewesen. Angreifer hätten auf dem Zielsystem Code ausführen können. Ein Patch und ein Workaround sind verfügbar.

Artikel veröffentlicht am ,
Memcached hat mehrere Sicherheitslücken geschlossen.
Memcached hat mehrere Sicherheitslücken geschlossen. (Bild: Memcached)

Der Cisco-Mitarbeiter Aleksandar Nikolisch hat mehrere kritische Sicherheitslücken in der Software Memcached gefunden, die die Ausführung fremden Codes aus der Ferne ermöglichen. Memcached wird im Backend vieler Webseiten eingesetzt, um die Performance zu verbessern, unter anderem auch von großen Diensten wie Facebook, Twitter, Youtube und Reddit.

Stellenmarkt
  1. UnternehmerTUM GmbH, Garching bei München
  2. SEW-EURODRIVE GmbH & Co KG, Bruchsal

Das Memcached-Team hat die Sicherheitslücken mit einem aktuellen Release geschlossen, betroffen waren alle Versionen vor der Versionsnummer 1.4.31. Die drei vergebenen CVEs (CVE-2016-8704, CVE-2016-8705 und CVE-2016-8706) beziehen sich jeweils auf Integer Overflows, die ausgenutzt werden könnten, um Code auf dem Zielsystem auszuführen. Außerdem könnten Angreifer in der Lage sein, vertrauliche Prozessinformationen einzusehen und könnten damit Schutzmaßnahmen wie Adress Space Layout Randomization (ASLR) umgehen, schreibt der Talos-Forscher.

SASL ist ebenfalls betroffen

Die von dem Problem betroffenen Funktionen sind dafür zuständig, Key-Value-Datenpaare zu verarbeiten, zu modifizieren und anzufügen. Außerdem ist auf einigen Systemen die SASL-Funktion (Simple Authentication and Security Layer) angreifbar. SASL ist ein Authentifizierungs-Framework, das für zahlreiche Kommunikationsprotokolle wie SMTP, IMAP und XMPP genutzt wird.

Der auf den 31.10. datierte Patch verweist auf die Erkenntnisse von Talos und bietet einen Workaround an, falls ein Update gerade nicht eingespielt werden kann. Nutzer sollten Memcached dann mit dem Parameter "-B ascii -" starten, wenn sie das Binary-Protokoll von Memcached nutzen. Wer Snort nutzt, kann außerdem die Regel 40468-40483 anwenden, um die eigenen Systeme zu schützen.



Anzeige
Blu-ray-Angebote
  1. (2 Monate Sky Ticket für nur 4,99€)
  2. 4,99€
  3. (u. a. Der Marsianer, Spaceballs, Titanic, Batman v Superman)

Folgen Sie uns
       


Steam Spy vor dem Aus - Bericht

Das Tool Steam Spy kann nach Valves Änderungen bei den Privatsphäre-Einstellungen des Onlineshops nach Angaben des Erfinders nicht länger funktionieren.

Steam Spy vor dem Aus - Bericht Video aufrufen
P20 Pro im Kameratest: Huaweis Dreifach-Kamera schlägt die Konkurrenz
P20 Pro im Kameratest
Huaweis Dreifach-Kamera schlägt die Konkurrenz

Mit dem P20 Pro will Huawei sich an die Spitze der Smartphone-Kameras katapultieren. Im Vergleich mit der aktuellen Konkurrenz zeigt sich, dass das P20 Pro tatsächlich über eine sehr gute Kamera verfügt: Die KI-Funktionen können unerfahrenen Nutzern zudem das Fotografieren erleichtern.
Ein Test von Tobias Költzsch

  1. Android Huawei präsentiert drei neue Smartphones ab 120 Euro
  2. Wie Samsung Huawei soll noch für dieses Jahr faltbares Smartphone planen
  3. Porsche Design Mate RS Huawei bringt 512-GByte-Smartphone für 2.100 Euro

God of War im Test: Der Super Nanny
God of War im Test
Der Super Nanny

Ein Kriegsgott als Erziehungsberechtigter: Das neue God of War macht nahezu alles anders als seine Vorgänger. Neben Action bietet das nur für die Playstation 4 erhältliche Spiel eine wunderbar erzählte Handlung um Kratos und seinen Sohn Atreus.
Von Peter Steinlechner

  1. God of War Papa Kratos kämpft ab April 2018

Physik: Maserlicht aus Diamant
Physik
Maserlicht aus Diamant

Ein Stickstoff-Fehlstellen-basierter Maser liefert kontinuierliche und kohärente Mikrowellenstrahlung bei Raumtemperatur. Eine mögliche Anwendung ist die Kommunikation mit Satelliten.
Von Dirk Eidemüller

  1. Colorfab 3D-gedruckte Objekte erhalten neue Farbgestaltung
  2. Umwelt China baut 100-Meter-Turm für die Luftreinigung
  3. Crayfis Smartphones sollen kosmische Strahlung erfassen

    •  /