BDU:2023-01570
Сообщество свободного программного обеспечения, АО «ИВК», ООО «РусБИТех-Астра» Альт 8 СП, Astra Linux Special Edition, libmemcached-awesome
2023-03-06
Уязвимость сервиса кэширования данных memcached библиотеки libmemcached-awesome связана с недостаточной защитой служебных данных при обработке параметра времени ожидания запроса POLL_TIMEOUT. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций:
https://github.com/awesomized/libmemcached/commit/48dcc61a
https://github.com/awesomized/libmemcached/releases/tag/1.1.4
https://github.com/awesomized/libmemcached/security/advisories/GHSA-wwmh-39wj-fx59
Компенсирующие меры: 1) используйте достаточно высокое значение для параметра времени ожидания запроса POLL_TIMEOUT, как по умолчанию; 2) используйте отдельные соединения libmemcached для несвязанных данных; 3) не используйте повторно соединения libmemcached в неизвестном состоянии.
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОС Astra Linux Special Edition 1.7: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0426SE17