広く利用されているオープンソースの分散メモリキャッシュシステム「Memcached」において、深刻度の高い脆弱性が公開されました。この脆弱性により、未認証のリモート攻撃者がSASL保護された環境で有効なユーザー名を列挙できる可能性があります。
CVE-2026-47783として追跡され、CWE-208「観測可能なタイミングの差異」に分類されるこの欠陥は、2026年5月18日にリリースされたバージョン1.6.42より前のすべてのMemcachedバージョンに影響します。
この脆弱性は、MemcachedのSASL認証コード内のsasl_server_userdb_checkpass関数に存在します。
問題の核心は、内部ループが有効なユーザー名を発見した時点で即座に終了するというロジックの欠陥であり、有効なユーザー名と無効なユーザー名の間でサーバー応答時間に測定可能な差異が生じます。
攻撃者はこの挙動の差異を悪用し、認証プローブを繰り返し送信してレスポンスのタイミングを計測することで、事前の認証情報や高い権限を一切必要とせずに、SASLパスワードデータベースに存在するユーザー名を特定できます。
主な修正内容のひとつとして、リロード中の認証データ競合状態が修正され、認証状態を破壊する可能性のある競合状態が防止されました。
過大な認証トークンによって引き起こされるクラッシュも修正され、サービス拒否の攻撃経路が排除されました。
関連する脆弱性であるCVE-2026-47784は、MITREによって同時に公開されており、同じsasl_server_userdb_checkpass関数を標的としていますが、ユーザー名ではなくパスワードデータを漏洩させます。
これら2つのCVEを合わせると、MemcachedのSASLスタックにおける認証情報の完全な漏洩経路が形成されます。
CVE-2026-47783およびCVE-2026-47784はいずれも、CVSS v3.1基本スコア8.1(高)を持ち、ネットワーク経由でアクセス可能であり、権限不要かつユーザー操作不要という攻撃の性質を反映しています。
バージョン1.6.42のリリースは、メンテナーによって「セキュリティに重点を置いたメジャーリリース」と説明されており、多数の報告済み問題に同時に対処しています。
SASLタイミングの欠陥に加え、このアップデートでは認証リロード中のデータ競合、過大な認証トークンによるクラッシュ、バイナリプロトコルのボディ長解析における符号付き整数オーバーフロー、および複数のメモリ管理クラッシュも修正されています。
複数のLinuxディストリビューションが、そのリポジトリに脆弱なパッケージが含まれることを確認しています。Debianのセキュリティトラッカーによると、Debian Forky(1.6.41-1)までのすべての安定版リリースが脆弱なままであり、修正済みの1.6.42-1パッケージが利用可能なのはsid(不安定版)ブランチのみです。
セキュリティチームは以下の緊急対応を実施してください。
翻訳元: https://cyberpress.org/memcached-sasl-flaw/
