'n Regstellende vrystelling van die Redis DBMS 7.0.5 is gepubliseer, wat 'n kwesbaarheid (CVE-2022-35951) uitskakel wat moontlik 'n aanvaller kan toelaat om hul kode uit te voer met die regte van die Redis-proses. Die probleem raak net die 7.x-tak en vereis toegang om navrae uit te voer om die aanval uit te voer.
Die kwesbaarheid word veroorsaak deur 'n heelgetal oorloop wat plaasvind wanneer 'n verkeerde waarde gespesifiseer word vir die "COUNT" parameter in die "XAUTOCLAIM" opdrag. Wanneer stroomsleutels in 'n opdrag gebruik word, in 'n sekere toestand, kan 'n heelgetaloorloop gebruik word om na 'n area buite die hoop toegekende geheue te skryf.
Bron: opennet.ru