読者です 読者をやめる 読者になる 読者になる

memcached に送ったセキュリティパッチが 1.4.17 でマージされていた

だいぶ前に memcached の SASL認証に不備があるのを見つけていてパッチを送っていたのでしたが、ようやくマージされて 1.4.17 のリリースに入っていたのに気がつきました

認証をバイパスされる脆弱性なのですが、SASL認証を使ってない運用であればそもそも問題が無いので大半のユーザには影響がでないものと思われます。

脆弱性自体は mizzy さんが業務中に見つけたもので、パッチ作成は私が行い(これも業務中に)、その後のレビューと投稿までをヘルプしていただきました。コアとなる構造体にフィールドを足す変更も入ったので、びみょーかなーと思っていたのですが、無事マージされてよかったです。

Couchbase Server にも memcached ストレージがありSASL認証が使えますが、実装が違うので影響はないようです

画竜点睛--

リリースノートに漢字で名前が載ってしまい、何ともアホっぽいオチをつけてしまったのでした とほほ