07-Memcached放大反射型拒绝服务漏洞（CVE-2013-7291）修复方案.docVIP

Memcached放大反射型拒绝服务漏洞（CVE-2013-7291）修复方案 深信服科技股份有限公司 目 录 TOC \o 1-6 \h \u 17467 漏洞详情信息 3 13995 漏洞修复方案 4 30054 1.1、 修复建议 4 3970 1.2、 方案一(升级Memcached) 4 13558 1.3、 方案二(添加防火墙规则) 7 17719 1.4、 防护详细建议 7 16076 文档说明 8 漏洞详情信息 漏洞名称 Memcached放大反射型拒绝服务漏洞（CVE-2013-7291） 漏洞等级 高危 漏洞描述 Memcached是一个自由开源的，高性能，分布式内存对象缓存系统，常被许多网站使用以提升网站的访问速度。Memcached运行默认监听的uUDP 11211端口可以被用来进行放大反射型拒绝服务攻击。据研究表示，基于 Memcache 的DRDoS攻击的放大系数可达到 51200，五万多倍的放大攻击效果！ 漏洞影响 影响Memcached 1.4.17之前的所有版本 漏洞修复方案 修复建议 免责声明： 本文档所提供的修复方案均是在官方提供的修复方案的基础上经过易用性描述处理形成。修复方案中涉及的补丁包下载链接均为官方提供的链接，通过该等链接下载的补丁包均由官方自行发布，若补丁包存在任何异常问题，或上述官方的修复方案无法解决现有问题，深信服科技股份有限公司不承担相应责任。 方案一 修复原理：升级Memcached，默认禁用UDP 11211端口 修复风险：1.可能影响正常业务的使用 2.需要专业技术人员进行修复 方案二 修复原理：添加防火墙规则，拦截11211端口 修复风险：1.启用防火墙会导致，无法被其他计算机ping通 2.一旦关闭防火墙，漏洞即可被利用 建议： 依据官方给出的建议，本次漏洞修复建议使用方案一，可以彻底消除导致漏洞。 方案二可以防止漏洞被利用，但是需要依赖于防火墙的作用。 建议在测试环境试验后，再对生产环境业务进行修复 方案一(升级Memcached) 方案描述 此方案主要措施为升级Memcached。 修复流程 停止Memcached服务 升级Memcached 启动Memcached 确认升级成功 风险概述 可能影响正常业务的使用 需要专业技术人员进行修复 修复依据 此方案根据漏洞利用原理所制定。 操作前提 本方案在CentOS7.2上验证通过，Memcached使用rpm方式安装，对于源码包安装或者其他版本系统，修复原理相同。 具体操作步骤如下： 步骤1 停止Memcached服务 停止服务命令： systemctl stop memcached 或者 service memcached stop 步骤2 升级Memcached至1.5.15 安装Memcached需要先安装依赖包：perl和libevent 安装命令：yum install -y perl libevent Memcached升级命令： rpm -Uvh /linux/remi/enterprise/7/remi/x86_64/memcached-1.5.15-1.el7.remi.x86_64.rpm rpm -Uvh /linux/remi/enterprise/7/remi/x86_64/memcached-devel-1.5.15-1.el7.remi.x86_64.rpm 注意事项：如果升级时出现如下错误，请检查网络是否出现异常 如果服务器无法连接互联网，请先下载rpm包，上传到服务器再安装 安装命令： rpm -Uvh 包名 下载链接（两个包都需要安装）： memcached-1.5.15： /linux/remi/enterprise/7/remi/x86_64/memcached-1.5.15-1.el7.remi.x86_64.rpm memcached-devel-1.5.15： /linux/remi/enterprise/7/remi/x86_64/memcached-devel-1.5.15-1.el7.remi.x86_64.rpm 步骤3 启动Memcached systemctl start memcached 或者 service memcached start 步骤4 确认升级成功 使用以下命令查看监听端口，只有tcp端口，没有udp端口 netstat -nap | grep 11211 先使用telnet连接memcached服务： telnet 11211 输入stats查看版本，如下图，版本号为1.5.15，升级成功！ 方案二(添加防火墙规则) 方案描述 此方案的在无法升级memcached的情况下使用