Memcached [SOLVED]

[Ralph]

Muss Memcached zwingend aktiv bleiben und wie sollte es in der KH Konfiguration am besten global und sauber deaktiviert werden??
Es wäre besser wenn Memcached via Account Template nur per User aktiviert werden könnte, um Probleme zu vermeiden ...
Es gibt Anwendungen die für Memcached ungeeigent sind, auch gebastelte eigene PHP Scripts oder mögliche Datenlecks in Standard CMS (auch Plugins) ich denke da z.b. an veraltete WP, Joomla, PS und Kunden die es einfach aktivieren ohne zu wissen was es bewirkt ... Memcached unterstützt auch keine native Datenverschlüsselung.
Auch aufgrund der massiven Web Attacken möchte ich auf Memcached DDoS lieber verzichten, ich finde es nicht gut wenn es global für jeden Kunden einfach so zur Verfügung steht.
https://www.akamai.com/glossary/what-is ... dos-attack
https://blog.cloudflare.com/memcrashed- ... ort-11211/

[mhagge]

Meinst Du Redis oder wirklich Memcached? Weil das ist in einer Standard-Keyhelp-Installation gar nicht enthalten (und Redis ist imho so konfiguriert, dass von extern nicht drauf zugegriffen werden kann)

Oder geht es um die PHP-Module. Allerdings sind die ja nur dafür da, um einen (ggf.extra zu installierenden) Memcached-Server anzusprechen

[Ralph]

Oder geht es um die PHP-Module. Allerdings sind die ja nur dafür da, um einen (ggf.extra zu installierenden) Memcached-Server anzusprechen

Ich finde es ja erstmal gut Memcached Support verfügbar zu machen, nur gibt es leider viele Risiko User die nicht frei darüber verfügen sollten, also es sollte nicht als Standard global für jeden verfügbar sein ... aktivierbar über Account Templates und bei Bedarf durch den Admin auch wieder deaktivierbar für den User Account. Also es geht mir nicht um mögliche ddos Attacken auf einem installierten Server ...

Code: Select all

PHP 8.1
memcached support	enabled
Version	3.3.0
libmemcached-awesome version	1.1.4
SASL support	yes
Session support	yes

[mhagge]

Ja, aber der Memcached-Support in PHP ist ja nur nutzbar, wenn auch ein Memcached-Server installiert wurde. Den gibt es standardmäßig nicht. Das wird also nur zum Problem, wenn Du selbst einen Memcached-Server installierst und diesen nicht ordnungsgemäß absicherst.

[Ralph]

Ja, aber der Memcached-Support in PHP ist ja nur nutzbar, wenn auch ein Memcached-Server installiert wurde. Den gibt es standardmäßig nicht. Das wird also nur zum Problem, wenn Du selbst einen Memcached-Server installierst und diesen nicht ordnungsgemäß absicherst.

Danke, also d.h. Session bzw. SASL support wird ignoriert (nicht durchlaufen) wenn kein funktionierender Memcached-Server in einer Anwendung oder auf dem System selbst konfiguriert ist?
Ich beziehe mich hier auf einige WP Plugin Vulnerability Meldungen wobei Zugangs Passwörter bei aktiviertem PHP Memcached module abgefischt wurden ...

[mhagge]

Hast Du mal ein Beispiel? Die Links oben beschreiben Attacken auf einen Memcached-Server selbst. Für WordPress habe ich nichts gefunden bzw. da wo ich was gefunden habe, ging es um Sicherheitslücken in einem Plugin, welches Wordpress dazu bringen soll, Memcached zu nutzen (und da war die Sicherheitslücke war in der Sicherung der Optionen, nicht in der Memcached-Implementierung: https://www.wordfence.com/threat-intel/ ... st-forgery (ist bei Wordence übrigens der einzige Eintrag, wenn man pauschal nach "Memcached" sucht)

[Ralph]

Hast Du mal ein Beispiel? Die Links oben beschreiben Attacken auf einen Memcached-Server selbst. Für WordPress habe ich nichts gefunden bzw. da wo ich was gefunden habe, ging es um Sicherheitslücken in einem Plugin, welches Wordpress dazu bringen soll, Memcached zu nutzen (und da war die Sicherheitslücke war in der Sicherung der Optionen, nicht in der Memcached-Implementierung: https://www.wordfence.com/threat-intel/ ... st-forgery (ist bei Wordence übrigens der einzige Eintrag, wenn man pauschal nach "Memcached" sucht)

Gute Frage, liegt einige Monate zurück
Es ging dabei soweit ich mich erinnere hauptsächlich um Cache Plugins wo Object-Caching via PHP Memcached aktiv war (CSRF-XXS, RCE) ...
Ich kann es nicht mehr mit Sicherheit sagen ob dabei ein funktionierender Server oder ein aktives PHP module die Vorraussetzung war.
Ich denke aber mal das PHP module wird ja entsprechend den Memcached Server Anforderungen z.b. bzgl. Verschlüsselung - vorarbeiten und ggf. liefern je nachdem wie die Lücke oder bereits vorhandene Malware dabei aussieht und nutzbar ist.

[mhagge]

Also groß was kann da nicht sein, sonst wäre das ziemlich sicher in der Wordfence-Datenbank gelandet. Da gibt es aber - mit dieser einen Ausnahme, die nicht mal was mit Memcached selbst zu tun hat – nichts.

[Ralph]

Gut, vermutlich hast du recht und meine Sorge ist unbegründet ... ich kann es aktuell auch nicht wiederfinden, also mache ich den Thread erstmal zu um niemanden hier unnötig zu irritieren.
Ob eine Aufbereitung von Daten durch das PHP Modul zur Weitergabe auch bei nicht vorhandenem Server erfolgt, muss ich mal recherchieren.

[Jolinar]

also mache ich den Thread erstmal zu

Hab ich irgendwas verpaßt...? Bist du jetzt auch Mod...?

[Ralph]

also mache ich den Thread erstmal zu

Hab ich irgendwas verpaßt...? Bist du jetzt auch Mod...?

Haha, nein damit möchte ich mich nicht wirklich belasten müssen ... ich kann die damit verbundenen Herausforderungen aber nachvollziehen Ich meinte ich markiere diesen Thread mal besser mal als gelöst.
Kannst du es bitte noch in den OT verschieben?

[Jolinar]

Kannst du es bitte noch in den OT verschieben?

Done