Es wurden Korrekturversionen der Datenbank-Management-Systeme Redis 6.2.6, 6.0.16 und 5.0.14 veröffentlicht, die 8 Sicherheitsanfälligkeiten beheben. Allen Nutzern wird dringend empfohlen, Redis auf die neuen Versionen zu aktualisieren.
- Vier Sicherheitsanfälligkeiten (CVE-2021-41099, CVE-2021-32687, CVE-2021-32628, CVE-2021-32627) können zu einem Pufferüberlauf führen, wenn speziell gestaltete Befehle und Netzwerkabfragen verarbeitet werden. Für eine Ausnutzung müssen jedoch einige Konfigurationsparameter (proto-max-bulk-len, set-max-intset-entries, hash-max-ziplist-*, proto-max-bulk-len, client-query-buffer-limit) auf sehr große Werte gesetzt sein.
- Die Sicherheitsanfälligkeit CVE-2021-32762 kann in redis-cli und redis-sentinel zu einem Pufferüberlauf führen, wenn große Antworten auf älteren Plattformen verarbeitet werden.
- Die Sicherheitsanfälligkeit CVE-2021-32675 kann zu einem Denial-of-Service führen, wenn intensiv eingehende RESP-Anfragen mit einer großen Anzahl von Elementen verarbeitet werden.
- Die Sicherheitsanfälligkeit CVE-2021-32672 kann durch Manipulationen mit dem Lua-Debugger das Auslesen von Inhalten aus dem Speicher ermöglichen.
- Die Sicherheitsanfälligkeit CVE-2021-32626 ermöglicht einen Pufferüberlauf beim Ausführen speziell gestalteter Lua-Skripte.
Quelle: opennet.ru
