BDU:2021-05037: Уязвимость параметра конфигурации set-max-intset-entries системы управления базами данных (СУБД) Redis, позволяющая нарушителю выполнить произвольный код

Описание уязвимости Уязвимость параметра конфигурации set-max-intset-entries системы управления базами данных (СУБД) Redis связана с возможностью целочисленного переполнения, Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Вендор Сообщество свободного программного обеспечения, Red Hat Inc., Fedora Project, АО «Концерн ВНИИНС», Redis Labs
Наименование ПО Debian GNU/Linux , Red Hat Enterprise Linux , Red Hat Software Collections , Red Hat OpenStack Platform , Fedora , ОС ОН «Стрелец» (запись в едином реестре российских программ №6177), Redis
Версия ПО
  • 9 (Debian GNU/Linux)
  • 8 (Red Hat Enterprise Linux)
  • 10 (Debian GNU/Linux)
  • - (Red Hat Software Collections)
  • 10.0 (Newton) (Red Hat OpenStack Platform)
  • 13.0 (Queens) (Red Hat OpenStack Platform)
  • 33 (Fedora)
  • 34 (Fedora)
  • 1.0 (ОС ОН «Стрелец»)
  • 11 (Debian GNU/Linux)
  • 12 (Debian GNU/Linux)
  • до 6.2.6 (Redis)
  • до 6.0.16 (Redis)
  • до 5.0.14 (Redis)
Тип ПО Операционная система, Прикладное ПО информационных систем, ПО программно-аппаратного средства
Операционные системы и аппаратные платформы
  • Сообщество свободного программного обеспечения Debian GNU/Linux 9
  • Red Hat Inc. Red Hat Enterprise Linux 8
  • Сообщество свободного программного обеспечения Debian GNU/Linux 10
  • Fedora Project Fedora 33
  • Fedora Project Fedora 34
  • АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0 (запись в едином реестре российских программ №6177)
  • Сообщество свободного программного обеспечения Debian GNU/Linux 11
  • Сообщество свободного программного обеспечения Debian GNU/Linux 12
Тип ошибки Целочисленное переполнение или циклический сдвиг, Переполнение буфера в связи с целочисленным переполнением
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 04.10.2021
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Redis:
https://github.com/redis/redis/commit/a30d367a71b7017581cf1ca104242a3c644dec0f

Запретить пользователям изменять параметр конфигурации set-max-intset-entries при помощи ACL (ограничить использование команды CONFIG SET).

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/HTYQ5ZF37HNGTZWVNJD3VXP7I6MEEF42/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/VL5KXFN3ATM7IIM7Q4O4PWTSRGZ5744Z/

Для Debian/GNU Linux:
https://security-tracker.debian.org/tracker/CVE-2021-32687

Для программных продуктов Red Hat:
https://access.redhat.com/security/cve/CVE-2021-32687

Для ОС ОН «Стрелец»:
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#02112021regulyarnoe-obnovlenie
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения