В memcached исправлена уязвимость переполнения буфера

Oбнaруживший уязвимoсть исслeдoвaтeль сooбщил o нeй ширoкoй oбщeствeннoсти, не уведомив разработчиков.

В ПО memcached, реализующем сервис кэширования данных в оперативной памяти, обнаружена и быстро исправлена уязвимость переполнения буфера, позволяющая вывести ПО из строя.

Подробности об уязвимости раскрыл исследователь безопасности IceJi, не предупредив заранее разработчиков memcached. Проблема затрагивает версии memcached 1.6.0 и 1.6.1 и была исправлена в версии 1.6.2, выпущенной через несколько часов после публикации подробностей об уязвимости.

Уязвимость существовала из-за отсутствия механизма проверки подлинности в параметре extlen в вызове функции memcpy(). Если злоумышленник добавит в extlen чрезмерное количество символов, произойдет переполнение буфера и аварийное завершение работы ПО. Может ли уязвимость эксплуатироваться для удаленного выполнения кода, неизвестно. Идентификатор CVE ей пока не присвоен.

По данным Shodan, в настоящее время через порт 11211 доступны 83 тыс. компьютеров по всему миру. Этот порт используется memcached по умолчанию, однако не все серверы обязательно работают на memcached, возможно, используется другое ПО.

Источник

Комментирование и размещение ссылок запрещено.

Комментарии закрыты.