Memcache 漏洞列表

Memcached是一套分布式的高速缓存系统。它以Key-Value（键值对）形式将数据存储在内存中，由于memcached安全设计缺陷，客户端连接memcached服务器后 无需认证就 可读取、修改服务器缓存内容。

An integer overflow in process_bin_sasl_auth function in Memcached, which is responsible for authentication commands of Memcached binary protocol, can be abused to cause heap overflow and lead to remote code execution.

Memcached是一个通用的分布式内存缓存系统。它通常用于加速动态数据库驱动的网站缓存数据和对象在 RAM 中，以减少外部数据源(如数据库或 API)必须读取的次数。(来自维基百科) 虽然 Memcached 支持 SASL，但是大多数实例是在没有身份验证的情况下公开的。 如果攻击者获得了一个凭据或者未授权访问，可以导致数据库数据泄露或被删除勒索，从而造成严重的数据安全事故。

除memcached中数据可被直接读取泄漏和恶意修改外，由于memcached中的数据像正常网站用户访问提交变量一样会被后端代码处理，当处理代码存在缺陷时会再次导致不同类型的安全问题。不同的是，在处理前端用户直接输入的数据时一般会接受更多的安全校验，而从memcached中读取的数据则更容易被开发者认为是可信的，或者是已经通过安全校验的，因此更容易导致安全问题。