Рекомендация Debian по безопасности

DSA-4218-1 memcached -- обновление безопасности

Дата сообщения:

06.06.2018

Затронутые пакеты:

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 868701, Ошибка 894404.
В каталоге Mitre CVE: CVE-2017-9951, CVE-2018-1000115, CVE-2018-1000127.

Более подробная информация:

В memcached, высокопроизводительной системе кэширования, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

CVE-2017-9951
Дэниель Шапира сообщил о чтении за пределами выделенного буфера динамической памяти в memcached (из-за неполного исправления CVE-2016-8705), вызываемом специально сформированными запросами на добавление/установку ключа и позволяющем удалённому злоумышленнику вызывать отказ в обслуживании.
CVE-2018-1000115
Было сообщено, что memcached по умолчанию прослушивает UDP. Удалённый злоумышленник может использовать это обстоятельство для исправления службы memcached с целью усиления распределённой атаки по вызову отказа в обслуживании.

Установки по умолчанию memcached в Debian не подвержены указанной проблеме, поскольку по умолчанию прослушивание ведётся только для локального узла. Данное обновление по умолчанию отключает порт UDP. Прослушивание UDP можно повторно включить в файле /etc/memcached.conf (см. /usr/share/doc/memcached/NEWS.Debian.gz).
CVE-2018-1000127
Было сообщено о переполнении целых чисел в memcached, приводящем к утечкам ресурсов, повреждении данных, блокировкам или аварийным остановкам.

В предыдущем стабильном выпуске (jessie) эти проблемы были исправлены в версии 1.4.21-1.1+deb8u2.

В стабильном выпуске (stretch) эти проблемы были исправлены в версии 1.4.33-1+deb9u1.

Рекомендуется обновить пакеты memcached.

С подробным статусом поддержки безопасности memcached можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/memcached