Leiðréttingarútgáfa af Redis DBMS 7.0.5 hefur verið gefin út, sem útilokar varnarleysi (CVE-2022-35951) sem gæti hugsanlega gert árásarmanni kleift að keyra kóðann sinn með réttindum Redis ferlisins. Málið hefur aðeins áhrif á 7.x útibúið og krefst aðgangs til að framkvæma fyrirspurnir til að framkvæma árásina.
Varnarleysið stafar af heiltöluflæði sem á sér stað þegar rangt gildi er tilgreint fyrir „COUNT“ færibreytuna í „XAUTOCLAIM“ skipuninni. Þegar straumlyklar eru notaðir í skipun, í ákveðnu ástandi, er hægt að nota heiltöluflæði til að skrifa á svæði fyrir utan hrúguúthlutað minni.
Heimild: opennet.ru