70 тысяч серверов memcached в интернете подвержены уязвимости 8-месячной давности

В октябре прошлого года в memcached были обнаружены критические уязвимости, позволяющие удалённо исполнять код. Согласно недавнему сканированию, большинство инсталляций этой Open Source-системы кэширования до сих пор не были обновлены.

Логотип memcached
Логотип memcached / Иллюстрация с сайта Memcached.Org

Три проблемы в memcached*, получившие очень высокий рейтинг критичности (у одного 8.1/10, а у двух — по 9.8/10), были обнаружены специалистом по ИТ-безопасности из подразделения Talos компании Cisco Systems и обнародованы 31 октября 2016 года. После волны атак на серверы, обслуживающие другие Open Source-решения для баз данных (MongoDB, CouchDB, Hadoop и Elasticsearch), в которых также были найдены опасные уязвимости в декабре и январе, специалисты из Talos ожидали подобной эпидемии и для memcached. Однако, просканировав в феврале 2017 года доступные в интернете серверы memcached общим количеством около 100 тысяч, они обнаружили, что лишь 24 тысячи инсталляций требовали аутентификацию, а всего у 200 из них были установлены патчи, исправляющие 3 октябрьские уязвимости.

Всего же около 80 % из обнаруженных инсталляций memcached были подвержены уязвимостям. Повторное сканирование специалисты из Talos провели уже в этом месяце, спустя почти 8 месяцев после публикации информации о критических проблемах. Из 106 тысяч найденных серверов с memcached около 70 процентов (73400 серверов) сохраняли 3 критические уязвимости. Более 18 тысяч из memcached-серверов требовали аутентификацию, но и среди них 99 % сохраняют уязвимость в поддержке SASL, позволяющую удалённо выполнять произвольный код.

* Критические уязвимости в memcached от 31 октября 2016 года: CVE-2016-8704, CVE-2016-8705, CVE-2016-8706.

Дмитрий Шурупов по материалам Thenewstack.Io.



Коды для вставки в блог\форум



Вспомним другие новости из этого раздела?


Soft

←+Ctrl+→

Интересные новости
Незавершенная версия Windows 7 работает лучше VistaНезавершенная версия Windows 7 работает лучше Vista
Программист открыл заблокированные возможности Windows 7Программист открыл заблокированные возможности Windows 7
Quick Slide Show 2.32: создание flash-презентацийQuick Slide Show 2.32: создание flash-презентаций
Покупатели гоняются за старыми компьютерами ради Windows XP
Визуализатор V-Ray 1.5 Service Pack 2 с поддержкой 3ds Max 2009Визуализатор V-Ray 1.5 Service Pack 2 с поддержкой 3ds Max 2009
Блок рекламы


Похожие новости

В драйверах более 40 производителей оборудования нашли уязвимости
Google увеличил размер выплат за уязвимости, найденные в ChromeGoogle увеличил размер выплат за уязвимости, найденные в Chrome
Хакеры заразили тысячи компьютеров майнером Monero. Им удалось заработать более $3 млн
Google сообщил о серьёзной уязвимости в браузере Microsoft EdgeGoogle сообщил о серьёзной уязвимости в браузере Microsoft Edge
Microsoft перепишет Skype с нуля из-за найденной уязвимостиMicrosoft перепишет Skype с нуля из-за найденной уязвимости
Apple закрыла уязвимости Spectre и Meltdown на macOS и iOSApple закрыла уязвимости Spectre и Meltdown на macOS и iOS
Meltdown и Spectre: что нужно знать о самой масштабной уязвимости процессоровMeltdown и Spectre: что нужно знать о самой масштабной уязвимости процессоров
PC-MOS/386, клон операционной системы MS-DOS 30-летней давности, стал Open SourcePC-MOS/386, клон операционной системы MS-DOS 30-летней давности, стал Open Source
Microsoft поучает Google, как правильно исправлять уязвимости безопасности в браузере ChromeMicrosoft поучает Google, как правильно исправлять уязвимости безопасности в браузере Chrome
Создатели WannaCry вывели $140 тысяч, полученных от жертв атакиСоздатели WannaCry вывели $140 тысяч, полученных от жертв атаки
Последние новости

Подгружаем последние новости