DebianDSA-4218-1：memcached - セキュリティ更新

high Nessus プラグイン ID 110386

Language:

概要

リモートのDebianホストにセキュリティ関連の更新プログラムがありません。

説明

高性能のメモリオブジェクトのキャッシュシステムであるmemcachedで、複数の脆弱性が発見されました。Common Vulnerabilities and Exposuresプロジェクトは次の問題を特定しています：

- CVE-2017-9951Daniel Shapira氏は、memcachedにヒープベースのバッファオーバーリードがあることを報告しました（ CVE-2016-8705のへの修正が不完全なことが原因です）。これは、キーの追加/設定の特別に細工されたリクエストにより発生し、リモート攻撃者はサービス拒否を引き起こすことが可能です。

- CVE-2018-1000115memcachedがデフォルトでUDPをリッスンすることが報告されました。リモート攻撃者がこれを利用し、memcachedサービスをDDoSアンプとして使用する可能性があります。

インストールは、ローカルホストでのみリッスンするデフォルトであるため、Debianでのmemcachedのデフォルトインストールはこの問題の影響を受けません。
この更新プログラムは、UDPポートをデフォルトで無効にします。UDPでのリッスンは、/etc/memcached.conf（cf.
/usr/share/doc/memcached/NEWS.Debian.gz）で再度有効にすることができます。

- CVE-2018-1000127memcachedで報告された整数オーバーフローにより、リソース漏洩、データ破損、デッドロックまたはクラッシュが発生します。

ソリューション

memcachedパッケージをアップグレードしてください。

旧安定版（oldstable）ディストリビューション（jessie）では、これらの問題はバージョン1.4.21-1.1+deb8u2で修正されています。

安定版（stable）ディストリビューション（stretch）では、これらの問題はバージョン1.4.33-1~deb9u1で修正されています。