一、漏洞基本信息
CVE编号:
CVE-2016-8704 - Memcached Append/Prepend 远程代码执行漏洞
CVE-2016-8705 - Memcached Update 远程代码执行漏洞
CVE-2016-8706 - Memcached SASL身份验证远程代码执行漏洞
漏洞发布日期:2016.10.30
受影响的软件及系统:Memcached < 1.4.33
漏洞概述:利用该漏洞黑客可以窃取在Memcached中存放的业务数据,或导致Memcached服务崩溃从而造成拒绝服务等危害,同时可导致远程代码执行,攻击者可以通过向服务器发送一个精心构造的Memcached命令实现该漏洞的利用。此外,这些漏洞还可以泄露敏感的进程信息,并且可以多次触发,利用这些敏感的进程信息,攻击者可以绕过像ASLR等常见的漏洞缓解机制。
二、漏洞原理分析
一般的使用目的是,通过缓存数据库查询结果,减少数据库访问次数,以提高动态Web应用的速度、提高可扩展性。
虽然Memcached文档中已经强烈建议将Memcached服务配置在可信任的网络环境中,但是仍有大量的Memcached服务可以在公网中直接访问。
三、漏洞检测方法
1 网上在线检查
2、手动直接检测
lsb_release -apkg -l | grep -i memcached # 在debian等系列rpm -qa | grep -i memcached # 在redhat、centos、ubuntu等系列
3Web指纹处检索“phpmyadmin”
“端口与服务”检索服务“memcached”,检查互联网侧是否打开了memcached 服务
四、漏洞修复方案
1.升级官方最新版本:1.4.33版本 http://www.memcached.org/files/memcached-1.4.33.tar.gz
2.限制Memcached 11211端口访问权限(如:禁止外网访问、仅限特定端口访问)
安全启动
新建操作系统普通账号安全运行memcache,禁止以管理员(root)权限运行 #useradd memcached -d /home/memcached -m #新建普通用户
限制memcache只监听内网IP "#/usr/local/memcached/bin/memcached -u memcached -l 内网IP地址 #启动服务
备注:内网IP地址请自行修改,一般限制为web服务器的内网IP地址"
端口访问限制
Memcached没有配置认证选项,未授权用户可直接获取数据库中所有信息,必须根据最小化原则对端口和IP进行限制 "#iptables -A INPUT -p tcp -s 来源IP地址 --dport 11211 -j ACCEPT
#iptables -A INPUT -p tcp --dport 11211 -j DROP
#iptables -A INPUT -p udp --dport 11211 -j DROP
注:来源IP地址请自行根据需要修改;memcached默认监听端口为11211(TCP&UDP),若业务修改成其他端口,这里也要作对应修改;禁止UDP访问。"
五、参考资料
http://blog.talosintel.com/2016/10/memcached-vulnerabilities.html
http://www.talosintelligence.com/reports/TALOS-2016-0219/
http://www.talosintelligence.com/reports/TALOS-2016-0220/
http://www.talosintelligence.com/reports/TALOS-2016-0221/
欢迎大家分享更好的思路,热切期待^^_^^ !
本文介绍了Memcached中三个远程代码执行漏洞(CVE-2016-8704/8705/8706)的基本信息、原理、检测及修复方案。黑客可通过构造恶意命令窃取数据或导致服务崩溃。
2598

被折叠的 条评论
为什么被折叠?



