Kritische Memcached-SASL-Schwachstelle ermöglicht Angreifern, gültige Benutzernamen zu ermitteln

Diese Sicherheitslücke wird nun mit der Kennung CVE-2026-47783 geführt. Der Fehler wurde in der am 18. Mai 2026 veröffentlichten Memcached-Version 1.6.42 behoben. Dieses Update, das einen starken Fokus auf Sicherheit legt, behebt mehrere kritische Mängel, die die Stabilität und Integrität der Software beeinträchtigen.

Die Ursache der Schwachstelle liegt in unterschiedlichen Antwortzeiten des Systems während des Authentifizierungsprozesses. Durch präzise Messung der Zeit, die das System für Authentifizierungsversuche benötigt, können Angreifer zwischen gültigen und ungültigen Benutzernamen unterscheiden.

Dieser Side-Channel-Angriff erfordert keinen direkten Zugriff auf Credentials. Stattdessen nutzt er subtile Variationen der Verarbeitungszeit aus, was ihn in realen Produktionsumgebungen besonders schwer zu erkennen macht.

Technischer Hintergrund

In den betroffenen Versionen vor 1.6.42 wurde der Authentifizierungsprozess der SASL-Passwortdatenbank inkonsistent hinsichtlich der Laufzeit behandelt. Bei der Eingabe eines gültigen Benutzernamens führte das System zusätzliche Verarbeitungsschritte aus.

Dies resultierte in messbaren Unterschieden in der Antwortzeit Vergleich zur Verarbeitung eines ungültigen Benutzernamens. Angreifer konnten wiederholte Authentifizierungsversuche automatisieren und die Antwortzeiten analysieren, um eine Liste gültiger Benutzernamen zu erstellen.

Dies senkt die Schwelle für Brute-Force- oder Credential-Stuffing-Angriffe erheblich. Obwohl die Sicherheitslücke Passwörter nicht direkt preisgibt, schwächt sie das gesamte Authentifizierungsmodell, indem sie Aufklärungsmaßnahmen (Reconnaissance) ermöglicht.

Sicherheitslage und Risiko

Umgebungen, in denen Memcached auf nicht vertrauenswürdige Netzwerke zugreift oder mit schwachen Zugriffskontrollen falsch konfiguriert ist, kann diese Schwachstelle als Teil einer umfassenderen Angriffsreihe ausgenutzt werden.

Die Lücke betrifft insbesondere Cloud- und Microservices-Deployments, die Memcached einsetzen, bei denen schwache Sicherheitskonfigurationen eine Fernausnutzung ermöglichen können.

Die Version 1.6.42 behebt CVE-2026-47783, eine Timing-Schwachstelle, sowie mehrere weitere Sicherheitsprobleme, darunter Speicher-Korruptionsfehler, Abstürze und Mängel Protokollhandling.

Gemäß den GitHub-Release-Notes wurden viele dieser

Gemäß den GitHub-Release-Notes wurden viele dieser Fixes durch zahlreiche Sicherheitsmeldungen ausgelöst, obwohl nicht alle Probleme einzeln auf ihre Schwere hin bewertet wurden.

Zu den weiteren behobenen Problemen gehören vorzeichenbehaftete Integer-Überläufe Binärprotokoll, Datenrennen während Authentifizierungsneuladungen und Abstürze, die durch fehlerhafte Eingaben oder große Tokens ausgelöst werden.

Mehrere Fixes richten sich zudem an das Proxy-Subsystem und beheben Speicher-Unterläufe sowie Pufferauslesefehler, die Instabilität oder Denial-of-Service-Bedingungen führen können. Selbst wenn Ausnutzungswege komplex sind, bleiben exponierte Memcached-Instanzen attraktive Ziele für Störungen und Erkundungen.

Sicherheitslage und Risiko

Organisationen werden dringend aufgefordert, unverzüglich auf Memcached 1.6.42 oder eine neuere Version zu aktualisieren, um CVE-2026-47783 und das umfassendere Set scheinbar risikoarme Schwachstellen wie Timing-Seitenkanäle können schwerwiegende haben, wenn sie mit anderen Mängeln und realen Angriffswerkzeugen kombiniert werden.

Parallel zur Behebung ücken sollten Teams eine ordnungsgemäße Netzwerksegmentierung sicherstellen, den Zugriff auf Memcached ausschließlich auf vertrauenswürdige Dienste beschränken und starke Authentifizierungsmechanismen durchsetzen, einschließlich der Verwendung, um den Ausbreitungsradius möglicher zukünftiger Vorfälle zu begrenzen.

Abi ist Sicherheitsredakteurin und Mitautorin bei