Transcript bollettino it-cert.161104.b01

Computer Emergency Response Team
BOLLETTINO IT-CERT.161104.B01
Vulnerabilità critiche in Memcached
(CVE-2016-8704, CVE-2016-8705, CVE-2016-8706)
Doc.: IT-CERT.161104.B01
ver. 1.0 del 04/11/2016
Pagina 1 di 4
DESCRIZIONE
Memcached è un software open source che realizza un sistema di caching distribuito ad alte prestazioni di
oggetti in memoria, destinato ad essere utilizzato per accelerare applicazioni Web dinamiche riducendo il
carico sui server di database. Memcached è utilizzato da diversi CMS (Content Management System) di
ampia diffusione e da importanti siti Web tra i più visitati a livello globale.
Sono state scoperte tre vulnerabilità critiche in Memcached che potrebbero consentire ad un attaccante
remoto non autenticato di eseguire codice arbitrario.
Le vulnerabilità sono legate a condizioni di errore di tipo integer overflow in Memcached che si manifestano
in diverse funzioni utilizzate per inserire, accodare, anteporre o modificare coppie di dati “chiave-valore”.
Risultano vulnerabili anche i sistemi compilati con il supporto all’autenticazione SASL (Simple
Authentication and Security Layer).
Un attaccante potrebbe sfruttare queste vulnerabilità inviando un comando Memcached appositamente
predisposto ad un sistema affetto. Se sfruttate con successo, queste vulnerabilità potrebbero consentire
l’esecuzione di codice arbitrario da remoto o causare la divulgazione di informazioni sensibili sui processi in
esecuzione che potrebbero essere sfruttate per aggirare i sistemi di protezione contro buffer overflow ed
exploit comunemente utilizzati, come ASLR (Address Space Layout Randomization).
Si riportano per informazione brevi descrizioni delle vulnerabilità (in Inglese) con i relativi codici CVE:



CVE-2016-8704: Memcached Server Append/Prepend Remote Code Execution Vulnerability
CVE-2016-8705: Memcached Server Update Remote Code Execution Vulnerability
CVE-2016-8706: Memcached Server SASL Authentication Remote Code Execution Vulnerability
Al momento non ci sono notizie che queste vulnerabilità siano state sfruttate in attacchi reali, anche se
diversi exploit sono stati resi pubblicamente disponibili.
È disponibile un aggiornamento che risolve queste vulnerabilità in Memcached (per maggiori informazioni
si veda la sezione LINK UTILI). Non sono disponibili soluzioni alternative per mitigare queste vulnerabilità.
SOLUZIONE
Le vulnerabilità descritte in questo bollettino sono state risolte in Memcached v1.4.33.
Si raccomanda di installare l’aggiornamento relativo alla propria piattaforma al più presto, dopo opportuno
testing.
SISTEMI
Risultano affette dalle vulnerabilità descritte in questo bollettino le seguenti versioni di Memcached:


Memcached v1.4.31
Memcached v1.4.32
Doc.: IT-CERT.161104.B01
ver. 1.0 del 04/11/2016
Pagina 2 di 4
LINK UTILI
Memcached Downloads
https://memcached.org/downloads
Cisco Talos Vulnerability Reports
http://www.talosintelligence.com/reports/TALOS-2016-0219/
http://www.talosintelligence.com/reports/TALOS-2016-0220/
http://www.talosintelligence.com/reports/TALOS-2016-0221/
Mitre CVE ID
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-8704
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-8705
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-8706
Doc.: IT-CERT.161104.B01
ver. 1.0 del 04/11/2016
Pagina 3 di 4
VALUTAZIONE CVSS
Relativamente alla valutazione della severity come metrica di base - da intendersi quale livello di
pericolosità della vulnerabilità delle componenti di sistema o delle piattaforme - il CERT Nazionale valuta i
parametri che concorrono al calcolo della Base Score secondo lo standard CVSS v.2 (Common Vulnerabilities
Scoring System), avvalendosi del tool messo a disposizione dal sito del NIST (http://nvd.nist.gov/cvss.cfm).
Nello specifico, per tutte le vulnerabilità descritte in questo bollettino e sulla base di informazioni
preliminari soggette ad aggiornamento, sono stati raggiunti i seguenti punteggi su una scala da 0 a 10.



CVSS Base Score 10,0
Impact Subscore 10,0
Exploitability Subscore 10,0
NOTE
Le informazioni contenute nel presente bollettino sono fornite a meri fini informativi.
In nessun caso il CERT Nazionale può essere ritenuto responsabile di qualunque perdita, pregiudizio,
responsabilità, costo, onere o spesa, ivi comprese le eventuali spese legali, danno diretto, indiretto,
incidentale o consequenziale, derivante da o connesso alle informazioni riportate nel presente bollettino.
La versione PDF del bollettino è statica ed, in quanto tale, contiene le informazioni disponibili al momento
della pubblicazione.
Doc.: IT-CERT.161104.B01
ver. 1.0 del 04/11/2016
Pagina 4 di 4