Informations de sécurité / 2018 / Informations sur la sécurité -- DSA-4218-1 memcached

Bulletin d'alerte Debian

DSA-4218-1 memcached -- Mise à jour de sécurité

Date du rapport :

6 juin 2018

Paquets concernés :

memcached

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 868701, Bogue 894404.
Dans le dictionnaire CVE du Mitre : CVE-2017-9951, CVE-2018-1000115, CVE-2018-1000127.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans memcached, un système de gestion d'objets en mémoire de haute performance. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2017-9951

  Daniel Shapira a signalé une lecture hors limites de tampon de tas dans memcached (résultant d'une correction incomplète pour CVE-2016-8705) déclenchée par des requêtes, contrefaites pour l'occasion, pour ajouter ou définir une clé et permettant à un attaquant distant de provoquer un déni de service.

• CVE-2018-1000115

  Il a été signalé que memcached est par défaut à l'écoute sur UDP. Un attaquant distant peut tirer avantage de cela pour utiliser le service memcached comme un amplificateur de déni de service distribué (DDOS).

  Les installations par défaut de memcached dans Debian ne sont pas affectées par ce problème dans la mesure où l'installation par défaut est seulement à l'écoute sur localhost. Cette mise à jour désactive le port UDP par défaut. L'écoute sur UDP peut être réactivée dans le fichier /etc/memcached.conf (cf. /usr/share/doc/memcached/NEWS.Debian.gz).

• CVE-2018-1000127

  Un dépassement d'entier a été signalé dans memcached, avec pour conséquence des fuites de ressources, une corruption de données, des blocages ou des plantages.

Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés dans la version 1.4.21-1.1+deb8u2.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 1.4.33-1+deb9u1.

Nous vous recommandons de mettre à jour vos paquets memcached.

Pour disposer d'un état détaillé sur la sécurité de memcached, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/memcached.