關于Memcached 存在多個遠程代碼執行高危漏洞的有關情況通報

近日，國(guó)家信息安全漏洞共享平台（CNVD）收錄了Memcached存在的多個遠程代碼執行漏洞（CNVD-2016-10468、CNVD-2016-10467、CNVD-2016-10466，對(duì)應CVE-2016-8704、CVE-2016-8705、CVE-2016-8706）。綜合利用上述漏洞，遠程攻擊者通過(guò)發(fā)送特制的命令到目标系統，進(jìn)而可遠程執行任意命令，有可能(néng)誘發(fā)以控制爲目的大規模攻擊。CNCERT第一時間對(duì)上述漏洞的相關情況進(jìn)行了解和分析，具體通報如下：

一、漏洞情況分析

Memcached是一個高性能(néng)的分布式内存對(duì)象緩存系統，用于動态Web應用以減輕數據庫負載。由于Memcached用于插入、添加、修改鍵值對(duì)的函數process_bin_append_prepend和process_bin_update以及Memcached在編譯過(guò)程中啓用的SASL驗證存在整數溢出漏洞。遠程攻擊者利用漏洞通過(guò)構造特制的Memcached命令，可在目标系統執行任意系統命令，獲取敏感進(jìn)程信息，進(jìn)而繞過(guò)通用的漏洞緩解機制，最終可獲取系統控制權限。

CNVD對(duì)上述漏洞的綜合評級均爲“高危”。目前，相關利用代碼已經(jīng)在互聯網上公開(kāi)，近期出現攻擊嘗試爆發(fā)的可能(néng)。

二、漏洞影響範圍

上述漏洞影響Memcached 1.4.31版本。由于攻擊者可繞過(guò)常規的漏洞緩解機制利用漏洞，可直接在公網訪問的Memcached服務受漏洞威脅嚴重。根據CNVD普查，超過(guò)2.8萬集成(chéng)memcache的主機暴露在互聯網上（暫未區分版本情況）。按國(guó)家和地區分布排名，位居前五的分别是中國(guó)（53.2%）、美國(guó)（38.9%）、中國(guó)香港（3.3%）、英國(guó)（2.5%）、德國(guó)（2.0%），其中境内IP分布方面(miàn)，阿裡(lǐ)雲上承載的服務器主機占比較高，占境内比例約爲29.2%。按前端承載容器分布，排名前三分别是：Apache（62.0%）、Nginx（32.3%）、IIS（3.6%）。

三、漏洞修複建議

目前，官方廠商已發(fā)布了漏洞修複方案，用戶可將(jiāng)程序升級至1.4.33版本。CNCERT建議用戶關注廠商主頁，升級到最新版本，避免引發(fā)漏洞相關的網絡安全事(shì)件。