Компания Cisco сообщила о выявлении в системе кэширования данных в оперативной памяти memcached серии критических уязвимостей, позволяющих выполнить код в системе с правами процесса memcached через передачу специально оформленных команд, сообщает Ope
Компания Cisco сообщила о выявлении в системе кэширования данных в оперативной памяти memcached серии критических уязвимостей, позволяющих выполнить код в системе с правами процесса memcached через передачу специально оформленных команд, сообщает OpenNET. Проблемы устранены во вчерашнем выпуске Memcached 1.4.33.
Администраторам рекомендуется убедиться, что доступ к сетевому порту Memcached открыт только для внутренних служб, а процесс memcached запускается от непривилегированного отдельного пользователя. Уязвимости проявляются только при использовании бинарного протокола, поэтому в качестве обходного метода защиты достаточно ограничить передачу команд только в режиме ASCII (запуск с опцией "-B ascii"). Обновления пакетов для дистрибутивов пока не выпущены (Debian, FreeBSD, Fedora, Ubuntu, CentOS, SUSE, openSUSE, RHEL). Для всех уязвимостей доступны рабочие прототипы эксплоитов.
Комментарии