BDU:2022-06489: Уязвимость компонента Crash Report функции sigsegvHandler файла debug.c системы управления базами данных Redis, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости Уязвимость компонента Crash Report функции sigsegvHandler файла debug.c системы управления базами данных Redis связана с некорректной зачисткой или освобождением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Вендор Red Hat Inc., ООО «Ред Софт», Redis Labs
Наименование ПО Red Hat Enterprise Linux, Jboss Fuse, Red Hat Software Collections, Red Hat OpenStack Platform, РЕД ОС (запись в едином реестре российских программ №3751), Red Hat Advanced Cluster Management for Kubernetes, Redis
Версия ПО
  • 8 (Red Hat Enterprise Linux)
  • 7 (Jboss Fuse)
  • - (Red Hat Software Collections)
  • 13.0 (Queens) (Red Hat OpenStack Platform)
  • 7.3 (РЕД ОС)
  • 2 (Red Hat Advanced Cluster Management for Kubernetes)
  • 9 (Red Hat Enterprise Linux)
  • до 2022-09-29 (Redis)
Тип ПО Операционная система, Прикладное ПО информационных систем, ПО программно-аппаратного средства, Сетевое средство, Сетевое программное средство
Операционные системы и аппаратные платформы
Тип ошибки Некорректная зачистка или освобождение ресурсов
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 21.10.2022
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств антивирусной защиты;
- использование средств межсетевого экранирования с целью ограничения возможности получения доступа к базе данных.

Использование рекомендаций:
Для Redis:
https://github.com/redis/redis/commit/0bf90d944313919eb8e63d3588bf63a367f020a3

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-3647

Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-redis-cve-2022-3647/
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Исчерпание ресурсов
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения