DFN-CERT-2017-1275 Memcached: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Fedora]

DFN-CERT-2017-1275 Memcached: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Memcached < 1.4.39 Betroffene Plattformen: Red Hat Fedora 25 Red Hat Fedora 26 Eine Schwachstelle in Memcached ermöglicht einem entfernten, nicht authentisierten Angreifer über speziell präparierte Anfragen zum Hinzufügen oder Setzen von Schlüsseln (Keys) eine Speicherschutzverletzung auszulösen (Segmentation Fault) und so einen Denial-of-Service (DoS)-Angriff gegen die Anwendung durchzuführen. Für Fedora 25 und 26 steht Memcached in der Version 1.4.39 als Sicherheitsupdate im Status 'testing' bereit. Patch: Fedora Security Update FEDORA-2017-1c053de325 (Fedora 26, memcached-1.4.39-1.fc26) https://bodhi.fedoraproject.org/updates/FEDORA-2017-1c053de325

Patch:

Fedora Security Update FEDORA-2017-99c0118c0c (Fedora 25,
memcached-1.4.39-1.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-99c0118c0c

CVE-2017-9951: Schwachstelle in Memcached ermöglicht
Denial-of-Service-Angriff

Aufgrund einer unvollständigen Fehlerbehebung für die Schwachstelle
CVE-2016-8705 existiert in der Funktion ‘try_read_command’ in ‘memcached.c’
in Memcached eine Schwachstelle, die es einem Angreifer ermöglicht über
Anfragen zum Setzen oder Hinzufügen eines Schlüssels, bei dem ein Vergleich
zwischen vorzeichenbehafteten und nicht vorzeichenbehafteten Ganzzahlen
durchgeführt wird, Lesezugriffe außerhalb der zulässigen Speichergrenzen des
Heap-basierten Pufferspeichers zu provozieren (Heap-based Buffer Over-Read),
wodurch eine Speicherschutzverletzung ausgelöst wird (Segmentation Fault),
in deren Folge ein Denial-of-Service (DoS)-Zustand eintritt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1275/

Schwachstelle CVE-2017-9951 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9951

Fedora Security Update FEDORA-2017-1c053de325 (Fedora 26,
memcached-1.4.39-1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-1c053de325

Fedora Security Update FEDORA-2017-99c0118c0c (Fedora 25,
memcached-1.4.39-1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-99c0118c0c

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben