Memcached 1.6.2 актуализация с корекция на уязвимост

Опубликовано актуализиране на системата за кеширане на данни в RAM Memcached 1.6.2, при което се елиминира уязвимост, което ви позволява да инициирате срив на работния процес чрез изпращане на специално изработена заявка. Уязвимостта се появява от версия 1.6.0. Като заобиколно решение за сигурност можете да деактивирате двоичния протокол за външни заявки, като стартирате с опцията „-B ascii“.

Проблемът е причинен от грешка в код анализ на заглавката на двоичния протокол, свързана с неправилно определяне на размера на данните, копирани в буфера при извикване на функцията memcpy (размерът се определя въз основа на параметъра, посочен в заглавката на заявката). Чрез манипулиране на стойността на параметъра в заглавката на двоичния протокол, нападател с възможност за свързване към мрежовия порт на Memcached може да инициира препълване на буфера, което да доведе до срив на работния процес.

Източник: opennet.ru