关于Memcached存在多个远程代码执行高危漏洞的安全公告

2016-11-01 18:49:58

安全公告编号:CNTA-2016-0053

近日,国家信息安全漏洞共享平台(CNVD)收录了Memcached存在的多个远程代码执行漏洞(CNVD-2016-10468、CNVD-2016-10467、CNVD-2016-10466,对应CVE-2016-8704、CVE-2016-8705、CVE-2016-8706)。综合利用上述漏洞,远程攻击者通过发送特制的命令到目标系统,进而可远程执行任意命令,有可能诱发以控制为目的大规模攻击。

一、漏洞情况分析

Memcached是一个高性能的分布式内存对象缓存系统,用于动态Web应用以减轻数据库负载。由于Memcached用于插入、添加、修改键值对的函数process_bin_append_prepend和process_bin_update以及Memcached在编译过程中启用的SASL验证存在整数溢出漏洞。远程攻击者利用漏洞通过构造特制的Memcached命令,可在目标系统执行任意系统命令,获取敏感进程信息,进而绕过通用的漏洞缓解机制,最终可获取系统控制权限。

CNVD对上述漏洞的综合评级均为“高危”。目前,相关利用代码已经在互联网上公开,近期出现攻击尝试爆发的可能。

二、漏洞影响范围

上述漏洞影响Memcached 1.4.31版本。由于攻击者可绕过常规的漏洞缓解机制利用漏洞,可直接在公网访问的Memcached服务受漏洞威胁严重。根据CNVD秘书处普查相关情况,有超过2.8万集成memcache的主机暴露在互联网上(暂未区分版本情况)。按国家和地区分布排名,位居前五的分别是中国(53.2%)、美国(38.9%)、中国香港(3.3%)、英国(2.5%)、德国(2.0%),其中境内IP分布方面,阿里云上承载的服务器主机占比较高,占境内比例约为29.2%。按前端承载容器分布,排名前三分别是:Apache(62.0%)、Nginx(32.3%)、IIS(3.6%)。

三、漏洞修复建议

目前,官方厂商已发布了漏洞修复方案,用户可将程序升级至1.4.33版本。CNVD建议用户关注厂商主页,升级到最新版本,避免引发漏洞相关的网络安全事件。

附:参考链接:

http://www.talosintelligence.com/reports/TALOS-2016-0219/

http://www.talosintelligence.com/reports/TALOS-2016-0220/

http://www.talosintelligence.com/reports/TALOS-2016-0221/

http://www.memcached.org/files/memcached-1.4.33.tar.gz(补丁地址)

http://www.cnvd.org.cn/flaw/show/CNVD-2016-10468

http://www.cnvd.org.cn/flaw/show/CNVD-2016-10467

http://www.cnvd.org.cn/flaw/show/CNVD-2016-10466