70 тысяч серверов memcached в интернете подвержены уязвимости 8-месячной давности

В октябре прошлого года в memcached были обнаружены критические уязвимости, позволяющие удалённо исполнять код. Согласно недавнему сканированию, большинство инсталляций этой Open Source-системы кэширования до сих пор не были обновлены.

Логотип memcached
Логотип memcached / Иллюстрация с сайта Memcached.Org

Три проблемы в memcached*, получившие очень высокий рейтинг критичности (у одного 8.1/10, а у двух — по 9.8/10), были обнаружены специалистом по ИТ-безопасности из подразделения Talos компании Cisco Systems и обнародованы 31 октября 2016 года. После волны атак на серверы, обслуживающие другие Open Source-решения для баз данных (MongoDB, CouchDB, Hadoop и Elasticsearch), в которых также были найдены опасные уязвимости в декабре и январе, специалисты из Talos ожидали подобной эпидемии и для memcached. Однако, просканировав в феврале 2017 года доступные в интернете серверы memcached общим количеством около 100 тысяч, они обнаружили, что лишь 24 тысячи инсталляций требовали аутентификацию, а всего у 200 из них были установлены патчи, исправляющие 3 октябрьские уязвимости.

Всего же около 80 % из обнаруженных инсталляций memcached были подвержены уязвимостям. Повторное сканирование специалисты из Talos провели уже в этом месяце, спустя почти 8 месяцев после публикации информации о критических проблемах. Из 106 тысяч найденных серверов с memcached около 70 процентов (73400 серверов) сохраняли 3 критические уязвимости. Более 18 тысяч из memcached-серверов требовали аутентификацию, но и среди них 99 % сохраняют уязвимость в поддержке SASL, позволяющую удалённо выполнять произвольный код.

* Критические уязвимости в memcached от 31 октября 2016 года: CVE-2016-8704, CVE-2016-8705, CVE-2016-8706.

Дмитрий Шурупов по материалам Thenewstack.Io.







Интересные новости
Незавершенная версия Windows 7 работает лучше Vista
Программист открыл заблокированные возможности Windows 7
Quick Slide Show 2.32: создание flash-презентаций
Покупатели гоняются за старыми компьютерами ради Windows XP
Визуализатор V-Ray 1.5 Service Pack 2 с поддержкой 3ds Max 2009
Блок рекламы


Похожие новости

В антивирусе Microsoft Defender исправили уязвимость 8-летней давностиВ антивирусе Microsoft Defender исправили уязвимость 8-летней давности
Apache выпустила уже третий патч для закрытия уязвимости в библиотеке Log4j — второй снова не справился
В антивирусе Microsoft Defender исправлена уязвимость 12-летней давности
Для AMD нашёлся свой Spectre: обнаружены критические уязвимости в процессорах Zen/Zen 2
В драйверах более 40 производителей оборудования нашли уязвимости
Google увеличил размер выплат за уязвимости, найденные в Chrome
Хакеры заразили тысячи компьютеров майнером Monero. Им удалось заработать более $3 млн
Google сообщил о серьёзной уязвимости в браузере Microsoft Edge
Microsoft перепишет Skype с нуля из-за найденной уязвимости
Apple закрыла уязвимости Spectre и Meltdown на macOS и iOS
Последние новости

Подгружаем последние новости