Memcached‘do_item_get’函数安全漏洞
|
|
|||||||||||||||||
| 漏洞名称: | Memcached‘do_item_get’函数安全漏洞 |
| CNNVD编号: | CNNVD-201401-175 |
| 发布时间: | 2014-01-15 |
| 更新时间: | 2014-01-15 |
| 危害等级: |  |
| 漏洞类型: | |
| 威胁类型: | 远程 |
| CVE编号: | CVE-2013-7290 |
Memcached是美国软件开发者布莱德-菲兹派翠克(Brad Fitzpatrick)所研发的一套高性能的分布式内存对象缓存系统。该系统通过在内存中缓存数据和对象来减少读取数据库的次数,从而提高动态、数据库驱动网站的速度。
Memcached 1.4.4版本中的items.c文件中的‘do_item_get’函数中存在安全漏洞,当在二进制协议删除请求中删除key时,程序没有正确验证用户提交的输入。当运行在verbose模式下时,远程攻击者可通过发送特制的请求利用该漏洞造成缓冲区溢出,导致拒绝服务(段错误)。
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.memcached.org/files/memcached-1.4.17.tar.gz
|
来源: code.google.com |
浙公网安备 33010602011771号