Abo
  • Services:
Anzeige
Memcached hat mehrere Sicherheitslücken geschlossen.
Memcached hat mehrere Sicherheitslücken geschlossen. (Bild: Memcached)

Performance-Framework: Kritische Sicherheitslücken in Memcached geschlossen

Memcached hat mehrere Sicherheitslücken geschlossen.
Memcached hat mehrere Sicherheitslücken geschlossen. (Bild: Memcached)

Von einer Sicherheitslücke in einem beliebten Performance-Framework sind auch Dienste wie Facebook, Youtube und Reddit betroffen gewesen. Angreifer hätten auf dem Zielsystem Code ausführen können. Ein Patch und ein Workaround sind verfügbar.

Der Cisco-Mitarbeiter Aleksandar Nikolisch hat mehrere kritische Sicherheitslücken in der Software Memcached gefunden, die die Ausführung fremden Codes aus der Ferne ermöglichen. Memcached wird im Backend vieler Webseiten eingesetzt, um die Performance zu verbessern, unter anderem auch von großen Diensten wie Facebook, Twitter, Youtube und Reddit.

Anzeige

Das Memcached-Team hat die Sicherheitslücken mit einem aktuellen Release geschlossen, betroffen waren alle Versionen vor der Versionsnummer 1.4.31. Die drei vergebenen CVEs (CVE-2016-8704, CVE-2016-8705 und CVE-2016-8706) beziehen sich jeweils auf Integer Overflows, die ausgenutzt werden könnten, um Code auf dem Zielsystem auszuführen. Außerdem könnten Angreifer in der Lage sein, vertrauliche Prozessinformationen einzusehen und könnten damit Schutzmaßnahmen wie Adress Space Layout Randomization (ASLR) umgehen, schreibt der Talos-Forscher.

SASL ist ebenfalls betroffen

Die von dem Problem betroffenen Funktionen sind dafür zuständig, Key-Value-Datenpaare zu verarbeiten, zu modifizieren und anzufügen. Außerdem ist auf einigen Systemen die SASL-Funktion (Simple Authentication and Security Layer) angreifbar. SASL ist ein Authentifizierungs-Framework, das für zahlreiche Kommunikationsprotokolle wie SMTP, IMAP und XMPP genutzt wird.

Der auf den 31.10. datierte Patch verweist auf die Erkenntnisse von Talos und bietet einen Workaround an, falls ein Update gerade nicht eingespielt werden kann. Nutzer sollten Memcached dann mit dem Parameter "-B ascii -" starten, wenn sie das Binary-Protokoll von Memcached nutzen. Wer Snort nutzt, kann außerdem die Regel 40468-40483 anwenden, um die eigenen Systeme zu schützen.


eye home zur Startseite



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Berlin
  2. Comline AG, Dortmund
  3. Schwarz Zentrale Dienste KG, Neckarsulm
  4. BG-Phoenics GmbH, München


Anzeige
Blu-ray-Angebote
  1. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)
  2. (u. a. Stephen Kings Es 8,97€, Serpico 8,97€, Annabelle 8,84€)

Folgen Sie uns
       


  1. Fahrdienst

    London stoppt Uber, Protest wächst

  2. Facebook

    Mark Zuckerberg lenkt im Streit mit Investoren ein

  3. Merged-Reality-Headset

    Intel stellt Project Alloy ein

  4. Teardown

    Glasrückseite des iPhone 8 kann zum Problem werden

  5. E-Mail

    Adobe veröffentlicht versehentlich privaten PGP-Key im Blog

  6. Die Woche im Video

    Schwachstellen, wohin man schaut

  7. UAV

    Matternet startet Drohnenlieferdienst in der Schweiz

  8. Joint Venture

    Microsoft und Facebook verlegen Seekabel mit 160 Terabit/s

  9. Remote Forensics

    BKA kann eigenen Staatstrojaner nicht einsetzen

  10. Datenbank

    Börsengang von MongoDB soll 100 Millionen US-Dollar bringen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Lenovo Thinkstation P320 Tiny im Test: Viel Leistung in der Zigarrenschachtel
Lenovo Thinkstation P320 Tiny im Test
Viel Leistung in der Zigarrenschachtel
  1. Adware Lenovo zahlt Millionenstrafe wegen Superfish
  2. Lenovo Smartphone- und Servergeschäft sorgen für Verlust
  3. Lenovo Patent beschreibt selbstheilendes Smartphone-Display

Wireless Qi: Wie die Ikealampe das iPhone lädt
Wireless Qi
Wie die Ikealampe das iPhone lädt
  1. Noch kein Standard Proprietäre Airpower-Matte für mehrere Apple-Geräte

Apples iPhone X in der Analyse: Ein iPhone voller interessanter Herausforderungen
Apples iPhone X in der Analyse
Ein iPhone voller interessanter Herausforderungen
  1. Smartphone Apple könnte iPhone X verspätet ausliefern
  2. Face ID Apple erlaubt nur ein Gesicht pro iPhone X
  3. iPhone X Apples iPhone mit randlosem OLED-Display kostet 1.150 Euro

  1. Re: Wird ein Mythos wiederlegt...

    /mecki78 | 16:48

  2. Re: Reiner Zufall...

    ArcherV | 16:47

  3. Re: Und bei DSL?

    Ovaron | 16:46

  4. Re: hmmm

    derJimmy | 16:43

  5. Re: Wieviel Energie benötigt es, um von Europa...

    Ovaron | 16:42


  1. 15:37

  2. 15:08

  3. 14:28

  4. 13:28

  5. 11:03

  6. 09:03

  7. 17:43

  8. 17:25


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel