Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-02584

Опубликовано: 11 мая 2021
Источник: fstec
CVSS3: 7.5
CVSS2: 7.1
EPSS Низкий

Описание

Уязвимость системы управления базами данных (СУБД) Redis связана с записью за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью параметра конфигурации set-max-intset-entries

Вендор

Сообщество свободного программного обеспечения
ООО «Ред Софт»
Red Hat Inc.
Fedora Project
Redis Labs
АО "НППКТ"
АО «Концерн ВНИИНС»

Наименование ПО

Debian GNU/Linux
РЕД ОС
Red Hat OpenStack Platform
Fedora
Redis
ОСОН ОСнова Оnyx
ОС ОН «Стрелец»

Версия ПО

9 (Debian GNU/Linux)
10 (Debian GNU/Linux)
7.2 Муром (РЕД ОС)
10.0 (Newton) (Red Hat OpenStack Platform)
13.0 (Queens) (Red Hat OpenStack Platform)
33 (Fedora)
34 (Fedora)
до 6.2.3 (Redis)
до 2.5 (ОСОН ОСнова Оnyx)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
ПО программно-аппаратного средства
СУБД

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
Сообщество свободного программного обеспечения Debian GNU/Linux 10
ООО «Ред Софт» РЕД ОС 7.2 Муром
Fedora Project Fedora 33
Fedora Project Fedora 34
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Redis:
https://github.com/redis/redis/security/advisories/GHSA-qh52-crrg-44g3
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-29478
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BPWBIZXA67JFIB63W2CNVVILCGIC2ME5/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/EZJ6JGQ2ETZB2DWTQSGCOGG7EF3ILV4V/
Для РЕД ОС:
https://redos.red-soft.ru/updatesec/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-29478
Для ОСОН Основа:
Обновление программного обеспечения redis до версии 5:6.0.16-1
Для ОС ОН «Стрелец»:
Обновление программного обеспечения redis до версии 5:6.0.16-1+deb11u2strelets

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 85%
0.02489
Низкий

7.5 High

CVSS3

7.1 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-29478

CVSS3: 7.5
ubuntu
почти 5 лет назад

Redis is an open source (BSD licensed), in-memory data structure store, used as a database, cache, and message broker. An integer overflow bug in Redis 6.2 before 6.2.3 could be exploited to corrupt the heap and potentially result with remote code execution. Redis 6.0 and earlier are not directly affected by this issue. The problem is fixed in version 6.2.3. An additional workaround to mitigate the problem without patching the `redis-server` executable is to prevent users from modifying the `set-max-intset-entries` configuration parameter. This can be done using ACL to restrict unprivileged users from using the `CONFIG SET` command.

redhat логотип

CVE-2021-29478

CVSS3: 7.5
redhat
почти 5 лет назад

Redis is an open source (BSD licensed), in-memory data structure store, used as a database, cache, and message broker. An integer overflow bug in Redis 6.2 before 6.2.3 could be exploited to corrupt the heap and potentially result with remote code execution. Redis 6.0 and earlier are not directly affected by this issue. The problem is fixed in version 6.2.3. An additional workaround to mitigate the problem without patching the `redis-server` executable is to prevent users from modifying the `set-max-intset-entries` configuration parameter. This can be done using ACL to restrict unprivileged users from using the `CONFIG SET` command.

nvd логотип

CVE-2021-29478

CVSS3: 7.5
nvd
почти 5 лет назад

Redis is an open source (BSD licensed), in-memory data structure store, used as a database, cache, and message broker. An integer overflow bug in Redis 6.2 before 6.2.3 could be exploited to corrupt the heap and potentially result with remote code execution. Redis 6.0 and earlier are not directly affected by this issue. The problem is fixed in version 6.2.3. An additional workaround to mitigate the problem without patching the `redis-server` executable is to prevent users from modifying the `set-max-intset-entries` configuration parameter. This can be done using ACL to restrict unprivileged users from using the `CONFIG SET` command.

debian логотип

CVE-2021-29478

CVSS3: 7.5
debian
почти 5 лет назад

Redis is an open source (BSD licensed), in-memory data structure store ...

suse-cvrf логотип

openSUSE-SU-2021:0682-1

suse-cvrf
почти 5 лет назад

Security update for redis

EPSS

Процентиль: 85%
0.02489
Низкий

7.5 High

CVSS3

7.1 High

CVSS2