Abo
  • Services:
Anzeige
Memcached hat mehrere Sicherheitslücken geschlossen.
Memcached hat mehrere Sicherheitslücken geschlossen. (Bild: Memcached)

Performance-Framework: Kritische Sicherheitslücken in Memcached geschlossen

Memcached hat mehrere Sicherheitslücken geschlossen.
Memcached hat mehrere Sicherheitslücken geschlossen. (Bild: Memcached)

Von einer Sicherheitslücke in einem beliebten Performance-Framework sind auch Dienste wie Facebook, Youtube und Reddit betroffen gewesen. Angreifer hätten auf dem Zielsystem Code ausführen können. Ein Patch und ein Workaround sind verfügbar.

Der Cisco-Mitarbeiter Aleksandar Nikolisch hat mehrere kritische Sicherheitslücken in der Software Memcached gefunden, die die Ausführung fremden Codes aus der Ferne ermöglichen. Memcached wird im Backend vieler Webseiten eingesetzt, um die Performance zu verbessern, unter anderem auch von großen Diensten wie Facebook, Twitter, Youtube und Reddit.

Anzeige

Das Memcached-Team hat die Sicherheitslücken mit einem aktuellen Release geschlossen, betroffen waren alle Versionen vor der Versionsnummer 1.4.31. Die drei vergebenen CVEs (CVE-2016-8704, CVE-2016-8705 und CVE-2016-8706) beziehen sich jeweils auf Integer Overflows, die ausgenutzt werden könnten, um Code auf dem Zielsystem auszuführen. Außerdem könnten Angreifer in der Lage sein, vertrauliche Prozessinformationen einzusehen und könnten damit Schutzmaßnahmen wie Adress Space Layout Randomization (ASLR) umgehen, schreibt der Talos-Forscher.

SASL ist ebenfalls betroffen

Die von dem Problem betroffenen Funktionen sind dafür zuständig, Key-Value-Datenpaare zu verarbeiten, zu modifizieren und anzufügen. Außerdem ist auf einigen Systemen die SASL-Funktion (Simple Authentication and Security Layer) angreifbar. SASL ist ein Authentifizierungs-Framework, das für zahlreiche Kommunikationsprotokolle wie SMTP, IMAP und XMPP genutzt wird.

Der auf den 31.10. datierte Patch verweist auf die Erkenntnisse von Talos und bietet einen Workaround an, falls ein Update gerade nicht eingespielt werden kann. Nutzer sollten Memcached dann mit dem Parameter "-B ascii -" starten, wenn sie das Binary-Protokoll von Memcached nutzen. Wer Snort nutzt, kann außerdem die Regel 40468-40483 anwenden, um die eigenen Systeme zu schützen.


eye home zur Startseite



Anzeige

Stellenmarkt
  1. Bertrandt Services GmbH, Ulm
  2. Deutsche Bundesstiftung Umwelt, Osnabrück
  3. Daimler AG, Leinfelden-Echterdingen
  4. Gebr. Heller Maschinenfabrik GmbH, Nürtingen


Anzeige
Spiele-Angebote
  1. 119,99€ (Vorbesteller-Preisgarantie)
  2. 59,99€ mit Vorbesteller-Preisgarantie
  3. 6,99€

Folgen Sie uns
       


  1. Bundesverkehrsministerium

    Dobrindt finanziert weitere Projekte zum autonomen Fahren

  2. Mobile

    Razer soll Smartphone für Gamer planen

  3. Snail Games

    Dark and Light stürmt Steam

  4. IETF

    Netzwerker wollen Quic-Pakete tracken

  5. Surface Diagnostic Toolkit

    Surface-Tool kommt in den Windows Store

  6. Bürgermeister

    Telekom und Unitymedia verweigern Open-Access-FTTH

  7. Layton's Mystery Journey im Test

    Katrielle, fast ganz der Papa

  8. Kabel und DSL

    Vodafone gewinnt 100.000 neue Festnetzkunden

  9. New Technologies Group

    Intel macht Wearables-Sparte dicht

  10. Elektromobilität

    Staatliche Finanzhilfen elektrisieren Norwegen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Kryptowährungen: Bitcoin steht vor grundlegenden Änderungen
Kryptowährungen
Bitcoin steht vor grundlegenden Änderungen
  1. Kryptowährungen Massiver Diebstahl von Ether
  2. Link11 DDoS-Angriffe nehmen wegen IoT-Botnetzen weiter zu
  3. Kryptowährung Bitcoin notiert auf neuem Rekordhoch

Indiegames Rundschau: Meisterdiebe, Anti- und Arcadehelden
Indiegames Rundschau
Meisterdiebe, Anti- und Arcadehelden
  1. Jump So was wie Netflix für Indiegames
  2. Indiegames-Rundschau Weltraumabenteuer und Strandurlaub
  3. Indiegames-Rundschau Familienflüche, Albträume und Nostalgie

IETF Webpackage: Wie das Offline-Internet auf SD-Karte kommen könnte
IETF Webpackage
Wie das Offline-Internet auf SD-Karte kommen könnte
  1. IETF DNS wird sicher, aber erst später
  2. IETF 5G braucht das Internet - auch ohne Internet
  3. IETF DNS über HTTPS ist besser als DNS

  1. Re: Solange die Elektroautos Teurer sind als...

    ChMu | 20:18

  2. Re: Verkaufscharts

    plutoniumsulfat | 20:17

  3. Re: Gamer Smartphone?

    plutoniumsulfat | 20:16

  4. Re: Smartphonespiele sind spaßig

    DetlevCM | 20:08

  5. Re: Streisand Effect

    Profi | 19:57


  1. 16:55

  2. 16:33

  3. 16:10

  4. 15:56

  5. 15:21

  6. 14:10

  7. 14:00

  8. 12:38


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel