Memcache'i volitamata juurdepääsu haavatavuse kõrvaldamise stsenaarium

Väike sodi · Postitatud 10.07.2016 23:12:06

Haavatavuse kirjeldus:

Memcache on sageli kasutatav võtme-väärtuse vahemällu salvestamise süsteem, kuna sellel puudub õiguste kontrollmoodul, mistõttu avalikult avatud memcache teenust on ründajate poolt lihtne skaneerida ja avastada ning memcache'i tundlikku infot saab otse käsude kaudu lugeda.

Parandusvõimalused:

Kuna memcache'il puuduvad õiguste kontrolli funktsioonid, peavad kasutajad piirama juurdepääsu allikaid.

Variant 1:

Kui memcache ei ole avalikus võrgus avatud, saad määrata piiratud IP-aadressiks 127.0.0.1, kui memcached käivitub. Näiteks:

memcached -d -m 1024 -u root -l 127.0.0.1 -p 11211 -c 1024 -P /tmp/memcached.pid

kus -l parameeter on määratud kohaliku aadressina.

Stsenaarium 2: (Märkus: palun seadistage iptable'i reeglid hoolikalt)

Kui Memcache teenust tuleb pakkuda väliselt väljastpoolt, saab juurdepääsu kontrolli teha iptablesi kaudu.

iptables -A INPUT -p tcp -s 192.168.0.2 --dport 11211 -j ACCEPT

Ülaltoodud reegel tähendab, et ainult IP-aadress 192.168.0.2 võib pääseda portile 11211.

Sunny · Postitatud 29.11.2016 09:56:20

Hea postitus............

[Turvaline suhtlus] Memcache'i volitamata juurdepääsu haavatavuse kõrvaldamise stsenaarium

Seotud postitused

Vaadatud sektsioonid