全部产品
Search
文档中心

【漏洞公告】CVE-2016-8704 、CVE-2016-8705 、CVE-2016-8706:Memcached全版本多处远程执行代码漏洞

更新时间: 2018-05-10

2016年10月31日,Memcached发布安全补丁,修复了多个远程代码执行漏洞。黑客可以利用该漏洞窃取在Memcached中存放的业务数据,或导致Memcached服务崩溃,从而造成拒绝服务等危害。阿里云安全提醒您及时升级至官方版本1.4.33及以上。

漏洞详情见下文。


漏洞编号

CVE-2016-8704、CVE-2016-8705、CVE-2016-8706

漏洞名称

  • CVE-2016-8704:Memcached Append/Prepend 远程代码执行漏洞
  • CVE-2016-8705:Memcached Update 远程代码执行漏洞
  • CVE-2016-8706:Memcached SASL 身份验证远程代码执行漏洞

漏洞等级

高危

漏洞危害

通过向服务器发送一个精心构造的Memcached命令,攻击者可以利用该漏洞,进而引发业务崩溃、拒绝服务,严重危害业务正常运行。

漏洞利用条件

对互联网开放了Memcached服务11211端口。

漏洞影响范围

Memcached < 1.4.33

漏洞修复建议(或缓解措施)

情报来源

[1]. http://seclists.org/oss-sec/2016/q4/290
[2]. http://blog.talosintel.com/2016/10/memcached-vulnerabilities.html
[3]. https://github.com/memcached/memcached/wiki/ReleaseNotes1433
[4]. http://www.talosintelligence.com/reports/TALOS-2016-0219/
[5]. http://www.talosintelligence.com/reports/TALOS-2016-0220/
[6]. http://www.talosintelligence.com/reports/TALOS-2016-0221/