Aller au contenu
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Une faille dans Memcached permet les attaques par déni de service

@  — 

Je ne sais pas si vous utilisez Memcached pour mettre en cache dans la RAM, les données et les objets de votre site web, mais si c’est le cas, sachez qu’un exploit assez violent vient d’être mis en ligne sur la toile. Celui-ci permet tout simplement de lancer une attaque par déni de service sur un Memcached accessible depuis l’extérieur et par conséquent de faire tomber les sites web qui l’utilisent.

Le plus beau dans tout ça, c’est que ce code python diabolique exploite une faille découverte il y a déjà plus de 2 ans. D’ailleurs, c’est la raison d’être de cet exploit : forcer les développeurs de Memcached à corriger cette faille béante en les mettant devant l’évidence.

Les utilisateurs de Memcached ont d’ailleurs fourni un patch non officiel, mais le développeur en charge du projet refuse de l’intégrer et a publié un commentaire assez hautain à ce sujet.

En passant, je ne sais pas si vous avez vu mais l’hébergeur Hostinger propose des offres super intéressantes en matière d’hébergement web. C’est pas trop cher pour démarrer et s’auto-héberger. (Lien affilié)

La raison de son refus ?

Et bien, elle est simple. Il a prévu une réécriture complète de Memcached pour la version 1.5, ce qui aura pour effet « supposé » de contourner / faire disparaitre ce bug. Malheureusement, la 1.5 tarde à arriver. Il pourrait patcher le code existant, mais il n’a pas le temps d’étudier le mini patch proposé par la communauté qui d’après ses propres mots est probablement un patch de merde qui n’a pas été testé, qui est fourni sans explications et qui ajoutera probablement d’autres failles de sécurité dans Memcached.

De quoi mettre Paris en bouteille, tout ça. Mais comme il le dit lui-même, libre à chacun de proposer un test case pour vérifier que le code de ce patch n’empirera pas la situation.

Il n’empêche que, comme il n’a pas eu le temps depuis 2 ans de fixer cette faille critique, et bien les admins sys doivent se démerder tout seul et faire face aux attaques DOS qui risquent de se répandre comme une trainée de poudre avec l’apparition de l’exploit publié ici.

Bon courage à tous !

Et si vous cherchez un équivalent à Memcached qui semble ne pas être sensible à cette attaque…. (à vérifier cependant)

Merci à John Jean pour l’info

Que faire après le bac quand on est passionné de cybersécurité ?

Entièrement dédiée à la cybersécurité, l’école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l’école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).

Cliquez ici pour en savoir plus

Lien sponsorisé

Des idées pour vos menus (+ 10 € de réduction sur vos prochaines courses)

Jow est une application iOS et Android ainsi qu’un site web, qui propose des menus délicieux et rapide à réaliser. L’application se connecte à votre magasin préféré (Carrefour, Auchan, E. Leclerc…etc.) et génère la liste de vos courses tout en vous proposant des réductions.

Jow c’est top si :

  • Vous cherchez sans cesse des idées de menu
  • Vous voulez gagner du temps avec vos courses
  • Vous souhaitez manger plus équilibré
  • Vous voulez éviter le gâchis alimentaire
  • Vous aimez vous partager des photos de vos créations culinaires sur les réseaux

10 € de réduction sur vos prochaines courses

Et comme une bonne nouvelle n’arrive jamais seule, si vous créez votre compte sur Jow en passant par ce lien, vous profiterez de 10 € de réduction sur vos courses avec ce code promo :

2LE2QR

Quand on voit le coût de la vie, ça ne se refuse pas.

Bon ap !

Lien affilié

Les articles du moment