BDU:2021-02584: Уязвимость системы управления базами данных (СУБД) Redis, связанная с записью за границами буфера в памяти, позволяющая нарушителю выполнить произвольный

Описание уязвимости Уязвимость системы управления базами данных (СУБД) Redis связана с записью за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью параметра конфигурации set-max-intset-entries
Вендор Сообщество свободного программного обеспечения, ООО «Ред Софт», Red Hat Inc., Fedora Project, Redis Labs, АО "НППКТ"
Наименование ПО Debian GNU/Linux, РЕД ОС (запись в едином реестре российских программ №3751), Red Hat OpenStack Platform, Fedora, Redis, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 9.0 (Debian GNU/Linux)
  • 10.0 (Debian GNU/Linux)
  • 7.2 Муром (РЕД ОС)
  • 10.0 (Newton) (Red Hat OpenStack Platform)
  • 13.0 (Queens) (Red Hat OpenStack Platform)
  • 33 (Fedora)
  • 34 (Fedora)
  • до 6.2.3 (Redis)
  • до 2.5 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, ПО программно-аппаратного средства, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Чтение за границами буфера, Запись за границами буфера
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 11.05.2021
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Redis:
https://github.com/redis/redis/security/advisories/GHSA-qh52-crrg-44g3

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-29478

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BPWBIZXA67JFIB63W2CNVVILCGIC2ME5/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/EZJ6JGQ2ETZB2DWTQSGCOGG7EF3ILV4V/

Для РЕД ОС:
https://redos.red-soft.ru/updatesec/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-29478

Для ОСОН Основа:
Обновление программного обеспечения redis до версии 5:6.0.16-1
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения