Performance-Framework: Kritische Sicherheitslücken in Memcached geschlossen

Von einer Sicherheitslücke in einem beliebten Performance-Framework sind auch Dienste wie Facebook, Youtube und Reddit betroffen gewesen. Angreifer hätten auf dem Zielsystem Code ausführen können. Ein Patch und ein Workaround sind verfügbar.

Artikel veröffentlicht am ,
Memcached hat mehrere Sicherheitslücken geschlossen.
Memcached hat mehrere Sicherheitslücken geschlossen. (Bild: Memcached)

Der Cisco-Mitarbeiter Aleksandar Nikolisch hat mehrere kritische Sicherheitslücken in der Software Memcached gefunden, die die Ausführung fremden Codes aus der Ferne ermöglichen. Memcached wird im Backend vieler Webseiten eingesetzt, um die Performance zu verbessern, unter anderem auch von großen Diensten wie Facebook, Twitter, Youtube und Reddit.

Stellenmarkt
  1. IT Service Manager Capacity Management (w/m/d)
    EnBW Energie Baden-Württemberg AG, Karlsruhe
  2. Mathematiker (m/w/d) Produktrealisierung Leben
    VPV Versicherungen, Stuttgart
Detailsuche

Das Memcached-Team hat die Sicherheitslücken mit einem aktuellen Release geschlossen, betroffen waren alle Versionen vor der Versionsnummer 1.4.31. Die drei vergebenen CVEs (CVE-2016-8704, CVE-2016-8705 und CVE-2016-8706) beziehen sich jeweils auf Integer Overflows, die ausgenutzt werden könnten, um Code auf dem Zielsystem auszuführen. Außerdem könnten Angreifer in der Lage sein, vertrauliche Prozessinformationen einzusehen und könnten damit Schutzmaßnahmen wie Adress Space Layout Randomization (ASLR) umgehen, schreibt der Talos-Forscher.

SASL ist ebenfalls betroffen

Die von dem Problem betroffenen Funktionen sind dafür zuständig, Key-Value-Datenpaare zu verarbeiten, zu modifizieren und anzufügen. Außerdem ist auf einigen Systemen die SASL-Funktion (Simple Authentication and Security Layer) angreifbar. SASL ist ein Authentifizierungs-Framework, das für zahlreiche Kommunikationsprotokolle wie SMTP, IMAP und XMPP genutzt wird.

Der auf den 31.10. datierte Patch verweist auf die Erkenntnisse von Talos und bietet einen Workaround an, falls ein Update gerade nicht eingespielt werden kann. Nutzer sollten Memcached dann mit dem Parameter "-B ascii -" starten, wenn sie das Binary-Protokoll von Memcached nutzen. Wer Snort nutzt, kann außerdem die Regel 40468-40483 anwenden, um die eigenen Systeme zu schützen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Verschwendung
Amazon beim Aussortieren von Neuwaren zur Zerstörung gefilmt

ITV News hat ein Video veröffentlich, das Amazon beim Aussortieren neuer Produkte zeigen soll. Dabei geht es um große Stückzahlen.

Verschwendung: Amazon beim Aussortieren von Neuwaren zur Zerstörung gefilmt
Artikel
  1. Hubble: Uralttechnik ohne Ersatz versagt im Orbit
    Hubble
    Uralttechnik ohne Ersatz versagt im Orbit

    Das Hubble-Teleskop ist außer Betrieb. Die Speicherbänke aus den 1980er Jahren lassen sich nicht mit der CPU von 1974 ansprechen, die auf einer Platine zusammengelötet wurde.
    Von Frank Wunderlich-Pfeiffer

  2. Rhein: Versenkte E-Scooter werden von Unterwasser-Drohnen geborgen
    Rhein
    Versenkte E-Scooter werden von Unterwasser-Drohnen geborgen

    Die Umweltverschmutzung durch E-Scooter, die in Flüsse geworfen wurden, soll beseitigt werden. Shared Mobility will Unterwasserdrohnen und Taucher einsetzen.

  3. Verbraucherschutz: Update-Pflicht für digitale Produkte kommt
    Verbraucherschutz
    Update-Pflicht für digitale Produkte kommt

    Die große Koalition hat sich auf neue Verbraucherrechte beim Kauf digitaler Produkte geeinigt. Vieles bleibt jedoch unklar.

Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Amazon Prime Day nur noch heute • Gaming-Monitore (u. a. Acer 27" WQHD 144Hz 259€) • SSDs (u. a. Sandisk Ultra 3D 1TB 70,29€) • RAM von Crucial • Fire TV Stick 4K 28,99€/Lite 18,99€ • Bosch Professional • Dualsense + Pulse 3D Headset 139,99€ • Gaming-Chairs von Razer uvm. [Werbung]
    •  /