BDU:2021-04030: Уязвимость параметра конфигурации proto-max-bulk-len системы управления базами данных (СУБД) Redis, позволяющая нарушителю выполнить произвольный код

Описание уязвимости Уязвимость параметра конфигурации proto-max-bulk-len системы управления базами данных (СУБД) Redis связана с чтением за пределами диапазона и целочисленным переполнением буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Вендор Сообщество свободного программного обеспечения, ООО «Ред Софт», Fedora Project, Pivotal Software Inc., АО «Концерн ВНИИНС»
Наименование ПО Debian GNU/Linux , РЕД ОС (запись в едином реестре российских программ №3751), Fedora , Redis , ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)
Версия ПО
  • 9 (Debian GNU/Linux)
  • 7.2 Муром (РЕД ОС)
  • 33 (Fedora)
  • 34 (Fedora)
  • от 2.2.0 до 5.0.13 (Redis)
  • от 6.0 до 6.0.15 (Redis)
  • от 6.2.0 до 6.2.5 (Redis)
  • 1.0 (ОС ОН «Стрелец»)
Тип ПО Операционная система, СУБД
Операционные системы и аппаратные платформы
Тип ошибки Чтение за границами буфера, Целочисленное переполнение или циклический сдвиг, Переполнение буфера в связи с целочисленным переполнением
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 21.07.2021
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Redis:
https://github.com/redis/redis/security/advisories/GHSA-8wxq-j7rp-g8wj

Дополнительный обходной путь для смягчения проблемы без исправления исполняемого файла redis-server состоит в том, чтобы запретить пользователям изменять параметр конфигурации proto-max-bulk-len. Это можно сделать с помощью ACL, чтобы запретить непривилегированным пользователям использовать команду CONFIG SET.

Для Debian:
https://lists.debian.org/debian-lts-announce/2021/07/msg00017.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/6O7AUOROBYGP5IMGJPC5HZ3R2RB6GZ5X/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/VGX7RRAWGXWXEAKJTQYSDSBO2BC3SAHD/

Для РЕД ОС:
Установка обновления с сайта производителя: http://repo.red-soft.ru/redos/7.2c/x86_64/updates/

Для ОС ОН «Стрелец»:
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#02112021regulyarnoe-obnovlenie
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование ресурсами
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения