漏洞描述：
memcache是一套常用的key-value缓存系统，由于它本身没有权限控制模块，所以开放在外网的memcache服务很容易被攻击者扫描发现，通过命令交互可直接读取memcache中的敏感信息。

修复方案：
因memcache无权限控制功能，所以需要用户对访问来源进行限制。

以下方案基于Linux CentOS:

方案一：（启动时绑定监听IP）

如果memcache没有在外网开放的必要，可在memcached启动的时候指定绑定的ip地址为 127.0.0.1。例如：

memcached -d -m 1024 -u root -l 127.0.0.1 -p 11211 -c 1024 -P /tmp/memcached.pid

其中 -l 参数指定为本机地址。

方案二：（修改默认监听端口）

更改memcached 默认监听端口为11211 以外的端口，以下以新端口19203为例：

memcached -d -m 1024 -u memcached -l 127.0.0.1 -p 19203 -c 1024 -P /tmp/memcached.pid

参数说明：

-d选项是启动一个守护进程；

-m是分配给Memcached使用的内存数量，单位是MB，我这里是100MB；

-u是运行Memcached的用户，推荐单独普通权限用户：memcached，不要使用root权限账户；

-l是监听的服务器IP地址我这里指定了服务器的IP地址x.x.x.x；

-p是设置Memcached监听的端口，我这里设置了19203，最好是1024以上的端口；

-c选项是最大运行的并发连接数，默认是1024，我这里设置了512，按照你服务器的负载量来设定；

-P是设置保存Memcached的pid文件，我这里是保存在 /tmp/memcached.pid；

方案三：（配置防火墙访问控制）

如果memcache服务需要对外提供服务，则可以通过iptables进行访问控制，下面是只允许本机及外部IP 1.1.1.1访问：

// accept
iptables -A INPUT -p tcp -s 127.0.0.1 --dport 11211 -j ACCEPT
iptables -A INPUT -p udp -s 127.0.0.1 --dport 11211 -j ACCEPT

iptables -A INPUT -p tcp -s 1.1.1.1 --dport 11211 -j ACCEPT
iptables -A INPUT -p udp -s 1.1.1.1 --dport 11211 -j ACCEPT

// drop
iptables -I INPUT -p tcp --dport 11211 -j DROP
iptables -I INPUT -p udp --dport 11211 -j DROP

// 保存规则并重启 iptables
service iptables save
service iptables restart

上述规则的意思是只允许本机及外部IP 1.1.1.1 对11211端口进行访问，如已经变更默认监听端口，请变更--dport 的端口为新端口。

验证 memcache 端口11211开启情况：
以memcached 服务器IP（2.2.2.2），外部IP 1.1.1.1，在外部IP 服务器上运行telnet检测为例：

telnet 2.2.2.2 11211

无需用户名密码，1.1.1.1可以直接连接memcache 服务（2.2.2.2）的11211端口。

方案四：（最小化权限运行）

使用普通权限账号运行，以下指定memcached 用户运行

memcached -d -m 1024 -u memcached -l 127.0.0.1 -p 11211 -c 1024 -P /tmp/memcached.pid

方案五：（升级为最新版本）

在编译安装memcached程序时添加-enable-sasl选项，并且在启动memcached服务程序时添加-S参数，启用SASL认证机制以提升memcached的安全性

执行如下命令获得相应结果：

# stats  //查看memcache 服务状态
# stats items  //查看所有items
# stats cachedump 32 0  //获得缓存key
# get :state:264861539228401373:261588   //通过key读取相应value ，获得实际缓存内容，造成敏感信息泄露