Vecchia falla in memcached da ottobre: ma molti server non hanno ancora aggiornato

Vecchia falla in memcached da ottobre: ma molti server non hanno ancora aggiornato

La falla informatica di cui parleremo oggi non è recente, anzi è stata scoperta da quasi 8 mesi da quando scrivo questo articolo: non è strano che se ne continui a parlare, perchè si tratta di un problema ancora aperto fatto emergere dal gruppo di ricercatori informatici . Effettuando un’analisi sui server su internet che utilizzano memcached, risulta che molti di loro utilizzano ancora la versione fallata!

Ci sono tre casi di RCE (possibilità di esecuzione di codice da remoto per un utente malevolo o un’applicazione anomala) che riguardavano, tra gli altri, anche  i siti di Facebook, Twitter, Youtube e Reddit. Come spiegato ieri,

Le vulnerabilità critiche in questione sono state classificate rispettivamente come:
CVE-2016-8704
CVE-2016-8705
CVE-2016-8706

e sono risolte aggiornando memcached all’ultima versione (direttamente via Ubuntu, Fedora o sistema operativo in uso dall’hosting).

Tra i server ad oggi fallati, da quello che sappiamo, troviamo ai primi posti Stati Uniti, Cina, Regno Unito, Francia e Germania.

In generale, quindi, si suggerisce di tenere i progetti web importanti che usino memcached su strutture adeguatamente aggiornate (e spesso più costose), perchè sembra che la tendenza generale di molti gestori di server sia quelli di non aggiornare (solo il 10% avrebbe risposto alle mail dei ricercatori in cui si sollecitava l’aggiornamento). Un buon servizio di hosting dedicato, normalmente, ammesso che sia gestito in modo oculato, permette di evitare problemi di questo tipo.

(fonte)

Ti piace questo articolo?

1 voto

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

Vecchia falla in memcached da ottobre: ma molti server non hanno ancora aggiornato

Votato 10 / 10, da 1 utenti