Описание
Уязвимость функции memtest_preserving_test компонента memtest.c системы управления базами данных (СУБД) Redis связана с выходом операции за границы буфера в памяти при создании аварийного дампа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании сервера СУБД или выполнить произвольный код при помощи специально сформированного набора команд
Вендор
Redis Labs
Наименование ПО
Redis
Версия ПО
6.2.1 (Redis)
Тип ПО
СУБД
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,7)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,3)
Возможные меры по устранению уязвимости
Обновление программного обеспечения до актуальной версии или использовать следующие компенсирующие меры:
1) Отключение механизма проверки памяти с помощью команды "crash-memcheck-enabled non";
2) Ограничить возможность вызова команды PSYNC сервера СУБД Redis при помощи сторонних средств защиты или механизма разграничения доступа СУБД Redis.
Статус уязвимости
Подтверждена в ходе исследований
Наличие эксплойта
Существует
Информация об устранении
Уязвимость устранена
Ссылки на источники
8.3 High
CVSS3
8.7 High
CVSS2
8.3 High
CVSS3
8.7 High
CVSS2