Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-00695

Опубликовано: 20 янв. 2023
Источник: fstec
CVSS3: 5.5
CVSS2: 4.6
EPSS Средний

Описание

Уязвимость системы управления базами данных (СУБД) Redis связана с целочисленным переполнением при обработке объектов. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании с помощью команд SETRANGE и SORT/SORT_RO

Вендор

Novell Inc.
ООО «Ред Софт»
Redis Labs
АО «НТЦ ИТ РОСА»
АО "НППКТ"

Наименование ПО

openSUSE Tumbleweed
РЕД ОС
OpenSUSE Leap
SUSE Linux Enterprise Server for SAP Applications
SUSE Manager Proxy
SUSE Manager Server
SUSE Enterprise Storage
SUSE Linux Enterprise High Performance Computing
Suse Linux Enterprise Server
SUSE Manager Retail Branch Server
SUSE Linux Enterprise Module for Server Applications
SUSE Linux Enterprise Real Time
Redis
РОСА ХРОМ
ОСОН ОСнова Оnyx

Версия ПО

- (openSUSE Tumbleweed)
7.3 (РЕД ОС)
15.4 (OpenSUSE Leap)
15 SP3 (SUSE Linux Enterprise Server for SAP Applications)
4.2 (SUSE Manager Proxy)
4.2 (SUSE Manager Server)
7 (SUSE Enterprise Storage)
15 SP2 (SUSE Linux Enterprise Server for SAP Applications)
15 SP2-LTSS (SUSE Linux Enterprise High Performance Computing)
15 SP4 (Suse Linux Enterprise Server)
15 SP4 (SUSE Linux Enterprise Server for SAP Applications)
4.2 (SUSE Manager Retail Branch Server)
15 SP2-LTSS (Suse Linux Enterprise Server)
4.3 (SUSE Manager Retail Branch Server)
4.3 (SUSE Manager Proxy)
4.3 (SUSE Manager Server)
15 SP4 (SUSE Linux Enterprise High Performance Computing)
15 SP4 (SUSE Linux Enterprise Module for Server Applications)
7.1 (SUSE Enterprise Storage)
15 SP3-LTSS (Suse Linux Enterprise Server)
15 SP3-ESPOS (SUSE Linux Enterprise High Performance Computing)
15 SP3-LTSS (SUSE Linux Enterprise High Performance Computing)
15 SP3 (SUSE Linux Enterprise Real Time)
от 6.0.0 до 6.0.17 (Redis)
от 6.2.0 до 6.2.9 (Redis)
от 7.0.0 до 7.0.8 (Redis)
12.4 (РОСА ХРОМ)
до 2.8 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Сетевое средство

Операционные системы и аппаратные платформы

Novell Inc. openSUSE Tumbleweed -
ООО «Ред Софт» РЕД ОС 7.3
Novell Inc. OpenSUSE Leap 15.4
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2
Novell Inc. Suse Linux Enterprise Server 15 SP4
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4
Novell Inc. Suse Linux Enterprise Server 15 SP2-LTSS
Novell Inc. Suse Linux Enterprise Server 15 SP3-LTSS
Novell Inc. SUSE Linux Enterprise Real Time 15 SP3
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
АО "НППКТ" ОСОН ОСнова Оnyx до 2.8

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Redis:
https://github.com/redis/redis/releases/tag/6.0.17
https://github.com/redis/redis/releases/tag/6.2.9
https://github.com/redis/redis/releases/tag/7.0.8
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-35977.html
Для операционной системы РОСА ХРОМ:
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2174
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения redis до версии 5:7.0.12-1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 98%
0.46126
Средний

5.5 Medium

CVSS3

4.6 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2022-35977

CVSS3: 5.5
ubuntu
больше 2 лет назад

Redis is an in-memory database that persists on disk. Authenticated users issuing specially crafted `SETRANGE` and `SORT(_RO)` commands can trigger an integer overflow, resulting with Redis attempting to allocate impossible amounts of memory and abort with an out-of-memory (OOM) panic. The problem is fixed in Redis versions 7.0.8, 6.2.9 and 6.0.17. Users are advised to upgrade. There are no known workarounds for this vulnerability.

redhat логотип

CVE-2022-35977

CVSS3: 5.5
redhat
больше 2 лет назад

Redis is an in-memory database that persists on disk. Authenticated users issuing specially crafted `SETRANGE` and `SORT(_RO)` commands can trigger an integer overflow, resulting with Redis attempting to allocate impossible amounts of memory and abort with an out-of-memory (OOM) panic. The problem is fixed in Redis versions 7.0.8, 6.2.9 and 6.0.17. Users are advised to upgrade. There are no known workarounds for this vulnerability.

nvd логотип

CVE-2022-35977

CVSS3: 5.5
nvd
больше 2 лет назад

Redis is an in-memory database that persists on disk. Authenticated users issuing specially crafted `SETRANGE` and `SORT(_RO)` commands can trigger an integer overflow, resulting with Redis attempting to allocate impossible amounts of memory and abort with an out-of-memory (OOM) panic. The problem is fixed in Redis versions 7.0.8, 6.2.9 and 6.0.17. Users are advised to upgrade. There are no known workarounds for this vulnerability.

msrc логотип

CVE-2022-35977

CVSS3: 5.5
msrc
больше 2 лет назад

Описание отсутствует

debian логотип

CVE-2022-35977

CVSS3: 5.5
debian
больше 2 лет назад

Redis is an in-memory database that persists on disk. Authenticated us ...

EPSS

Процентиль: 98%
0.46126
Средний

5.5 Medium

CVSS3

4.6 Medium

CVSS2