本帖最后由 wonenea 于 2015-3-9 10:51 编辑
服务商给发了一个邮件。
---------
您好!接上级有关部门通知,您有如下ip的key-value数据存储服务器(memcache或redis),存在未授权访问漏洞,可导致存储信息(包括web会话、PHP代码等)泄露。建议加强访问控制:设置用户名密码、管理端口不要对公网开放等。
2*.*.*.8
验证方法:http://downinfo.myhostadmin.net/check.rar
------------
这个对wdcp有影响吗?怎么解决这个?谢谢大家的关注!
以下为邮件的附件内容。
-------------
国家信息安全漏洞共享平台(CNVD)漏洞通报 关于多个IP主机MemCache数据库存在未授权访问漏洞的情况通报 国家互联网应急中心(CNCERT) 2015年02月15日 1.
漏洞描述漏洞事件: 多个IP主机MemCache数据库存在未授权访问漏洞 通报时间: 2015年02月15日 漏洞引发的威胁: 查看、修改、删除memcache缓存内容。 评分评级:(AV:R/AC/Au:NR/C/A/I/B:N)score:7.48(最高10分,高危),即:远程攻击、攻击难度低、不需要用户认证,对机密性、完整性、可用性构成部分影响。 影响产品: 多个IP主机MemCache数据库 信息来源: CNVD 漏洞描述: CNVD获知,多个IP主机MemCache数据库存在未授权访问漏洞。经测试,情况属实。综合利用漏洞,允许攻击者未授权访问memcache服务器,查看、修改、删除memcache缓存内容,构成信息泄露和运行安全风险。 影响范围: 多个IP主机 2.
验证情况2.1MemCache存在未授权访问漏洞:以人民搜索属IP(58.68.249.46)为例:telnet 58.68.249.46 11211 无需用户名密码,可以直接连接memcache 服务的11211端口:
执行命令:stats 查看memcache 服务状态:
执行命令:stats items 查看所有items
执行命令:stats cachedump 32 0 获得缓存key:
执行命令:get :state:264861539228401373:261588 通过key读取相应value ,获得实际缓存内容,造成敏感信息泄露:
2.2 此外,还可以用memcachephp 工具进行图形化查看,功能与telnet方法相同: 首先配置memcachephp 的用户名密码和所要连接的IP:
……
可以利用php遍历下载memcache缓存数据:(CNVD未测试)
还可以利用replace、delete、flush_all 等命令修改、删除缓存内容。可以预见的是,这些命令会影响memcache 的正常运行,进而可能影响相应依赖memcache的服务(如:web服务)的运行效率。 3.处置措施3.1针对未授权访问漏洞,建议加强访问控制:设置用户名密码、管理端口不要对公网开放等。 关于CNVD 国家信息安全漏洞共享平台(China NationalVulnerability Database,简称CNVD)是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系。 关于CNCERT 国家计算机网络应急技术处理协调中心(简称“国家互联网应急中心”,英文简称是CNCERT或CNCERT/CC),成立于2002年9月,为非政府非盈利的网络安全技术中心,是我国网络安全应急体系的核心协调机构。 作为国家级应急中心,CNCERT的主要职责是:按照“积极预防、及时发现、快速响应、力保恢复”的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,维护国家公共互联网安全,保障基础信息网络和重要信息系统的安全运行。 网址:www.cert.org.cn 邮箱:vreport@cert.org.cn 电话:010-8299099
9 |