| Описание уязвимости | Уязвимость параметра конфигурации proto-max-bulk-len системы управления базами данных (СУБД) Redis связана с чтением за пределами диапазона и целочисленным переполнением буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код |
| Вендор | Сообщество свободного программного обеспечения, ООО «Ред Софт», Fedora Project, Pivotal Software Inc., АО «Концерн ВНИИНС», АО "НППКТ" |
| Наименование ПО | Debian GNU/Linux, РЕД ОС (запись в едином реестре российских программ №3751), Fedora, Redis, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177), ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913) |
| Версия ПО | 9 (Debian GNU/Linux), 7.2 Муром (РЕД ОС), 33 (Fedora), 34 (Fedora), от 2.2.0 до 5.0.13 (Redis), от 6.0 до 6.0.15 (Redis), от 6.2.0 до 6.2.5 (Redis), 1.0 (ОС ОН «Стрелец»), до 2.5 (ОСОН ОСнова Оnyx) |
| Тип ПО | Операционная система, СУБД |
| Операционные системы и аппаратные платформы |
|
| Тип ошибки | Чтение за границами буфера, Целочисленное переполнение или циклический сдвиг, Переполнение буфера в связи с целочисленным переполнением |
| Идентификатор типа ошибки | CWE-125, CWE-190, CWE-680 |
| Класс уязвимости | Уязвимость кода |
| Дата выявления | 21.07.2021 |
| Базовый вектор уязвимости |
|
| Уровень опасности уязвимости | Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5) |
| Возможные меры по устранению уязвимости |
Использование рекомендаций:
Для Redis: https://github.com/redis/redis/security/advisories/GHSA-8wxq-j7rp-g8wj Дополнительный обходной путь для смягчения проблемы без исправления исполняемого файла redis-server состоит в том, чтобы запретить пользователям изменять параметр конфигурации proto-max-bulk-len. Это можно сделать с помощью ACL, чтобы запретить непривилегированным пользователям использовать команду CONFIG SET. Для Debian: https://lists.debian.org/debian-lts-announce/2021/07/msg00017.html Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/6O7AUOROBYGP5IMGJPC5HZ3R2RB6GZ5X/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/VGX7RRAWGXWXEAKJTQYSDSBO2BC3SAHD/ Для РЕД ОС: Установка обновления с сайта производителя: http://repo.red-soft.ru/redos/7.2c/x86_64/updates/ Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#02112021regulyarnoe-obnovlenie Для ОСОН Основа: Обновление программного обеспечения redis до версии 5:6.0.16-1 |
| Статус уязвимости | Подтверждена производителем |
| Наличие эксплойта | Данные уточняются |
| Способ эксплуатации |
|
| Способ устранения | Обновление программного обеспечения |
| Информация об устранении | Уязвимость устранена |
| Ссылки на источники |
https://nvd.nist.gov/vuln/detail/CVE-2021-32761
https://github.com/redis/redis/security/advisories/GHSA-8wxq-j7rp-g8wj
https://lists.debian.org/debian-lts-announce/2021/07/msg00017.html
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/6O7AUOROBYGP5IMGJPC5HZ3R2RB6GZ5X/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/VGX7RRAWGXWXEAKJTQYSDSBO2BC3SAHD/
http://repo.red-soft.ru/redos/7.2c/x86_64/updates/
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#02112021regulyarnoe-obnovlenie
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5/
|
| Идентификаторы других систем описаний уязвимостей |
|
| Прочая информация | Данные уточняются |