Información sobre seguridad / 2018 / Información sobre seguridad -- DSA-4218-1 memcached

Aviso de seguridad de Debian

DSA-4218-1 memcached -- actualización de seguridad

Fecha del informe:

6 de jun de 2018

Paquetes afectados:

memcached

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el sistema de seguimiento de errores de Debian: error 868701, error 894404.
En el diccionario CVE de Mitre: CVE-2017-9951, CVE-2018-1000115, CVE-2018-1000127.

Información adicional:

Se descubrieron varias vulnerabilidades en memcached, un sistema de almacenamiento temporal («caching») de objetos de memoria de alto rendimiento. El proyecto «Vulnerabilidades y exposiciones comunes» («Common Vulnerabilities and Exposures») identifica los problemas siguientes:

• CVE-2017-9951

  Daniel Shapira informó de una lectura fuera de límites de memoria dinámica («heap») en memcached (debida a una corrección incompleta de CVE-2016-8705) desencadenada por solicitudes de adición/establecimiento de una clave, manipuladas de una forma determinada. Esto permite que un atacante remoto provoque denegación de servicio.

• CVE-2018-1000115

  Se informó de que memcached escucha a UDP por omisión. Un atacante remoto puede aprovecharlo para usar el servicio memcached como amplificador de denegación de servicio distribuido (DDoS, por sus siglas en inglés).

  A las instalaciones por omisión de memcached en Debian no les afecta este problema ya que con la configuración por omisión solo se escucha a localhost. Esta actualización inhabilita, por omisión, el puerto UDP. La escucha en UDP se puede habilitar de nuevo en /etc/memcached.conf (cf. /usr/share/doc/memcached/NEWS.Debian.gz).

• CVE-2018-1000127

  Se informó de un desbordamiento de entero en memcached, que da lugar a fuga de recursos, corrupción de datos, interbloqueos o caídas.

Para la distribución «antigua estable» (jessie), estos problemas se han corregido en la versión 1.4.21-1.1+deb8u2.

Para la distribución «estable» (stretch), estos problemas se han corregido en la versión 1.4.33-1+deb9u1.

Le recomendamos que actualice los paquetes de memcached.

Para información detallada sobre el estado de seguridad de memcached consulte su página del «security tracker» en: https://security-tracker.debian.org/tracker/memcached