|
Описание уязвимости |
Уязвимость параметра конфигурации proto-max-bulk-len системы управления базами данных (СУБД) Redis связана с чтением за пределами диапазона и целочисленным переполнением буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код |
|
Вендор
|
Сообщество свободного программного обеспечения, ООО «Ред Софт», Fedora Project, Pivotal Software Inc., АО «Концерн ВНИИНС», АО "НППКТ" |
|
Наименование ПО
|
Debian GNU/Linux, РЕД ОС (запись в едином реестре российских программ №3751), Fedora, Redis, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177), ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913) |
|
Версия ПО
|
- 9 (Debian GNU/Linux)
- 7.2 Муром (РЕД ОС)
- 33 (Fedora)
- 34 (Fedora)
- от 2.2.0 до 5.0.13 (Redis)
- от 6.0 до 6.0.15 (Redis)
- от 6.2.0 до 6.2.5 (Redis)
- 1.0 (ОС ОН «Стрелец»)
- до 2.5 (ОСОН ОСнова Оnyx)
|
|
Тип ПО
|
Операционная система, СУБД |
|
Операционные системы и аппаратные платформы
|
|
|
Тип ошибки |
Чтение за границами буфера, Целочисленное переполнение или циклический сдвиг, Переполнение буфера в связи с целочисленным переполнением |
|
Идентификатор типа ошибки
|
|
|
Класс уязвимости
|
Уязвимость кода |
|
Дата выявления |
21.07.2021 |
|
Базовый вектор уязвимости
|
|
|
Уровень опасности уязвимости
|
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5) |
|
Возможные меры по устранению уязвимости |
Использование рекомендаций:
Для Redis:
https://github.com/redis/redis/security/advisories/GHSA-8wxq-j7rp-g8wj
Дополнительный обходной путь для смягчения проблемы без исправления исполняемого файла redis-server состоит в том, чтобы запретить пользователям изменять параметр конфигурации proto-max-bulk-len. Это можно сделать с помощью ACL, чтобы запретить непривилегированным пользователям использовать команду CONFIG SET.
Для Debian:
https://lists.debian.org/debian-lts-announce/2021/07/msg00017.html
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/6O7AUOROBYGP5IMGJPC5HZ3R2RB6GZ5X/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/VGX7RRAWGXWXEAKJTQYSDSBO2BC3SAHD/
Для РЕД ОС:
Установка обновления с сайта производителя: http://repo.red-soft.ru/redos/7.2c/x86_64/updates/
Для ОС ОН «Стрелец»:
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#02112021regulyarnoe-obnovlenie
Для ОСОН Основа:
Обновление программного обеспечения redis до версии 5:6.0.16-1 |
|
Статус уязвимости
|
Подтверждена производителем |
|
Наличие эксплойта |
Данные уточняются |
|
Способ эксплуатации |
- Манипулирование ресурсами
|
|
Способ устранения |
Обновление программного обеспечения |
|
Информация об устранении |
Уязвимость устранена |
|
Ссылки на источники |
|
|
Идентификаторы других систем описаний уязвимостей
|
|
|
Прочая информация |
Данные уточняются |
