Er is een corrigerende release van Redis DBMS 7.0.5 gepubliceerd, die een kwetsbaarheid (CVE-2022-35951) elimineert waardoor een aanvaller mogelijk zijn code kan uitvoeren met de rechten van het Redis-proces. Het probleem heeft alleen betrekking op de 7.x-branch en vereist toegang om queries uit te voeren om de aanval uit te voeren.
Het beveiligingslek wordt veroorzaakt door een overflow van gehele getallen die optreedt wanneer een onjuiste waarde is opgegeven voor de parameter "COUNT" in de opdracht "XAUTOCLAIM". Wanneer u streamsleutels in een opdracht gebruikt, kan in een bepaalde status een integer-overflow worden gebruikt om naar een gebied buiten het aan de heap toegewezen geheugen te schrijven.
Bron: opennet.ru