Stfw.RuCVE-2016-8705 - серия целочисленных переполнений в функции process_bin_update, отвечающей за обработку команд Set (0x01), Add (0x02), Replace (0x03) , SetQ (0x11), AddQ (0x12) и ReplaceQ (0x13). Эксплуатация уязвимости может привести к переполнению кучи и выполнению кода атакующего;
CVE-2016-8704 - целочисленное переполнение в функции process_bin_append_prepend, отвечающей за обработку команд Append (0x0e), Prepend (0x0f), AppendQ (0x19) и PrependQ (0x1a). Эксплуатация уязвимости может привести к переполнению кучи и выполнению кода атакующего;
CVE-2016-8706 - целочисленное переполнение в функции process_bin_sasl_auth, используемой для обработки команд SASL-аутенитификации, которое может привести к переполнению кучи и выполнению кода атакующего;
Администраторам рекомендуется убедится, что доступ к сетевому порту Memcached открыт только для внутренних служб, а процесс memcached запускается от непривилегированного отдельного пользователя. Уязвимости проявляются только при использовании бинарного протокола, в поэтому в качестве обходного метода защиты достаточно ограничить передачу команд только в режиме ASCII ("-B ascii"). Обновления пакетов для дистрибутивов пока не выпущены (Debian, FreeBSD, Fedora, Ubuntu, CentOS, SUSE, openSUSE, RHEL). Для всех уязвимостей доступны рабочие прототипы эксплоитов.
