Na-publish ang corrective release ng Redis DBMS 7.0.5, na nag-aalis ng vulnerability (CVE-2022-35951) na posibleng magpapahintulot sa isang attacker na isagawa ang kanilang code na may mga karapatan sa proseso ng Redis. Nakakaapekto lang ang isyu sa 7.x branch at nangangailangan ng access para magsagawa ng mga query para maisagawa ang pag-atake.
Ang kahinaan ay sanhi ng isang integer overflow na nangyayari kapag ang isang maling value ay tinukoy para sa parameter na "COUNT" sa command na "XAUTOCLAIM." Kapag gumagamit ng mga stream key sa isang command, sa isang partikular na estado, ang isang integer overflow ay maaaring gamitin upang magsulat sa isang lugar na lampas sa heap na inilaan na memorya.
Pinagmulan: opennet.ru