Kritische Lücken in Memcached gefährden Server
Admins, die Memcached einsetzen, sollten zügig eine neue abgesicherte Version einspielen. Ansonsten könnten sich Angreifer Server einverleiben.
(Bild: dpa, Felix Kästle/Illustration)
Sicherheitsforscher von Ciscos Talos-Gruppe warnen vor kritischen Sicherheitslücken in Memcached. Viele Admins haben dieses Open-Source-Tool auf Servern laufen, um Web-Applikation mit Datenbankzugriff zu beschleunigen. Die abgesicherte Version 1.4.33 steht zum Download bereit.
Zwei der drei Schwachstellen (CVE-2016-8704 und CVE-2016-8705) schätzen die Sicherheitsforscher als besonders kritisch ein und vergeben einen CVSS 3.0 Score von 9.8 von 10. Angreifer müssen für einen erfolgreichen Übergriff lediglich spezielle Kommandos an einen Server mit Memcached schicken, um einen Speicherfehler (Heap Overflow) auszulösen. Anschließend können sie Code aus der Ferne ausführen.
Den Bedrohungsgrad der dritten Lücke (CVE-2016-8706) stuft Talos mit hoch ein und vergibt 8.1 von 10 CVSS-3.0-Punkten. Auch hier können Angreifer aus der Ferne Code auf Server schieben und ausführen. Das soll aber nur klappen, wenn die SASL-Authentifikation zum Einsatz kommt.
Außerdem sollen Angreifer durch Ausnutzen der Lücken Informationen abziehen können, um mit den Erkenntnissen Sicherheitsmechanismen wie ASLR zu deaktivieren. Admins sollten die abgesicherte Version also zügig einspielen. Es ist zudem empfehlenswert, dass Server mit Memcached nicht direkt über das Internet erreichbar sind. (des)
