Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2021-02584: Уязвимость системы управления базами данных (СУБД) Redis, связанная с записью за границами буфера в памяти, позволяющая нарушителю выполнить произвольный

Описание уязвимости	Уязвимость системы управления базами данных (СУБД) Redis связана с записью за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью параметра конфигурации set-max-intset-entries
Вендор	Сообщество свободного программного обеспечения, ООО «Ред Софт», Red Hat Inc., Fedora Project, Redis Labs, АО "НППКТ"
Наименование ПО	Debian GNU/Linux, РЕД ОС (запись в едином реестре российских программ №3751), Red Hat OpenStack Platform, Fedora, Redis, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	9.0 (Debian GNU/Linux) 10.0 (Debian GNU/Linux) 7.2 Муром (РЕД ОС) 10.0 (Newton) (Red Hat OpenStack Platform) 13.0 (Queens) (Red Hat OpenStack Platform) 33 (Fedora) 34 (Fedora) до 6.2.3 (Redis) до 2.5 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, ПО программно-аппаратного средства, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 ООО «Ред Софт» РЕД ОС 7.2 Муром (запись в едином реестре российских программ №3751) Fedora Project Fedora 33 Fedora Project Fedora 34
Тип ошибки	Чтение за границами буфера, Запись за границами буфера
Идентификатор типа ошибки	CWE-125 CWE-787
Класс уязвимости	Уязвимость кода
Дата выявления	11.05.2021
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:H/Au:S/C:C/I:C/A:C CVSS 3.0: AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Redis: https://github.com/redis/redis/security/advisories/GHSA-qh52-crrg-44g3 Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2021-29478 Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BPWBIZXA67JFIB63W2CNVVILCGIC2ME5/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/EZJ6JGQ2ETZB2DWTQSGCOGG7EF3ILV4V/ Для РЕД ОС: https://redos.red-soft.ru/updatesec/ Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2021-29478 Для ОСОН Основа: Обновление программного обеспечения redis до версии 5:6.0.16-1
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://github.com/redis/redis/security/advisories/GHSA-qh52-crrg-44g3 https://access.redhat.com/security/cve/cve-2021-29478 https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BPWBIZXA67JFIB63W2CNVVILCGIC2ME5/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/EZJ6JGQ2ETZB2DWTQSGCOGG7EF3ILV4V/ https://redos.red-soft.ru/updatesec/ https://security-tracker.debian.org/tracker/CVE-2021-29478 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2021-29478
Прочая информация	Данные уточняются

Последние изменения