Memcached 未授权访问漏洞验证_资讯

创始人

2024-03-19 07:22:22

0次

Memcached 是一个高性能的分布式内存对象缓存系统，用于动态Web应用以减轻数据库负载。

该服务的端号为：11211

使用绿盟漏洞扫描系统发现某服务器存在Memcached 未授权访问漏洞，如下图所示。

验证方法一：

使用nmap 脚本script-memcached-info 进行验证。

上图中Memcached服务的11211端口已经关闭，因此不存在Memcached 未授权访问漏洞。

验证方法二：

漏洞ip: X.X.X.11

漏洞证明：telnet X.X.XX.11 11211提示连接成功表示漏洞存在（telnet连接成功后是一个黑框，执行Memcached命令stats），如下：

整改建议：

1.限制访问

如果memcache没有对外访问的必要，可在memcached启动的时候指定绑定的ip地址。

2.使用最小化权限账号运行Memcached服务

使用普通权限账号运行，指定Memcached用户。

3.启用认证功能

Memcached本身没有做验证访问模块,Memcached从1.4.3版本开始，能支持SASL认证。

4.修改默认端口

修改默认11211监听端口为11222端口。

“向人民报告”—— 重拳打击编...

海峡创新（300300）披露对... 截至2025年12月26日收盘，海峡创新（300300）报收于17.15元，较前一交易日上涨0.94...

年度“法规体检”报告亮相备案... 中新社北京12月26日电 (记者谢雁冰)督促纠正要求残疾人机动轮椅车登记应当具有本市常住户籍问题，...

福田区保险业人民调解委员会成立... 深圳新闻网2025年12月23日讯（记者翁任莹）近日，深圳市福田区保险业人民调解委员会正式启动运行...

兰心十年：用制度承载善意在许多人的想象中，公益往往诞生于某个情绪的高点。但真正能走得长远的公益，几乎都不是这样开始的。对陈婧...

青海省公共法律服务平台累计指引... 人民网西宁12月26日电 (记者况玉)记者从12月26日召开“十四五”发展成就系列主题新闻发布会青海...

安阳市龙安区马家乡：寒冬排查护... 大象新闻记者于艳彬通讯员路蓬月寒冬岁末，安全为要。12月26日，安阳市龙安区马家乡在北齐村扎...

严打新型毒品犯罪精准指控促治... 近年来，添加依托咪酯等新型毒品的“上头电子烟”在青年群体中不断蔓延，严重侵害其身心健康。为依法从严从...

中国推进生态环境损害赔偿制度改... 中新社北京12月26日电 (记者阮煜琳)今年是推进生态环境损害赔偿制度改革十周年。中国生态环境部新...

省内首家！镇江市银行业人民调解... 现场扬子晚报网12月26日讯（通讯员余建军钱璐记者万凌云姜天圣）12月25日上午，镇江市...