Izdani so bili popravki za Redis 6.2.6, 6.0.16 in 5.0.14, ki odpravljajo osem ranljivosti. Vsem uporabnikom svetujemo, da takoj nadgradijo na te nove različice Redisa.
- Štiri ranljivosti (CVE-2021-41099, CVE-2021-32687, CVE-2021-32628, CVE-2021-32627) lahko povzročijo preobremenitev medpomnilnika pri obdelavi posebej izdelanih ukazov in omrežnih zahtev, vendar izkoriščanje zahteva, da so določeni konfiguracijski parametri (proto-max-bulk-len, set-max-intset-entries, hash-max-ziplist-*, proto-max-bulk-len, client-query-buffer-limit) nastavljeni na zelo velike vrednosti.
- CVE-2021-32762 lahko pri razčlenjevanju velikih odgovorov na starejših platformah povzroči preobremenitev medpomnilnika v redis-cli in redis-sentinel.
- Ranljivost CVE-2021-32675 lahko povzroči zavrnitev storitve pri obdelavi veliko dohodnih zahtev RESP z velikim številom elementov.
- Ranljivost CVE-2021-32672 lahko privede do branja vsebine pomnilnika z manipulacijo razhroščevalnika Lua.
- Ranljivost CVE-2021-32626 omogoča prelivanje medpomnilnika pri izvajanju posebej izdelanih skript Lua.
Vir: opennet.ru
