Идентификатор: BDU:2023-01570.
Наименование уязвимости: Уязвимость сервиса кэширования данных memcached библиотеки libmemcached-awesome, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации.
Описание уязвимости: Уязвимость сервиса кэширования данных memcached библиотеки libmemcached-awesome связана с недостаточной защитой служебных данных при обработке параметра времени ожидания запроса POLL_TIMEOUT. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации
Уязвимое ПО: Прикладное ПО информационных систем libmemcached-awesome от 1.0.18 до 1.1.4 |
Наименование ОС и тип аппаратной платформы:
Дата выявления: 06.03.2023.
CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:P/A:N
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)
Возможные меры по устранению:
Использование рекомендаций:
https://github.com/awesomized/libmemcached/commit/48dcc61a
https://github.com/awesomized/libmemcached/releases/tag/1.1.4
https://github.com/awesomized/libmemcached/security/advisories/GHSA-wwmh-39wj-fx59
Компенсирующие меры:
1) используйте достаточно высокое значение для параметра времени ожидания запроса POLL_TIMEOUT, как по умолчанию;
2) используйте отдельные соединения libmemcached для несвязанных данных;
3) не используйте повторно соединения libmemcached в неизвестном состоянии..
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2023-27478.
Тип ошибки CWE: CWE-200
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://github.com/awesomized/libmemcached/commit/48dcc61a
https://github.com/awesomized/libmemcached/releases/tag/1.1.4
https://github.com/awesomized/libmemcached/security/advisories/GHSA-wwmh-39wj-fx59
https://github.com/php-memcached-dev/php-memcached/issues/531
https://vuldb.com/?id.222496
