Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-01740

Опубликовано: 01 мар. 2023
Источник: fstec
CVSS3: 6.5
CVSS2: 6.8
EPSS Низкий

Описание

Уязвимость системы управления баз данных Redis связана с целочисленным переполнением буфера памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании с помощью команд SRANDMEMBER, ZRANDMEMBER и HRANDFIELD

Вендор

ООО «Ред Софт»
Redis Labs
АО «НТЦ ИТ РОСА»
АО "НППКТ"

Наименование ПО

РЕД ОС
Redis
РОСА ХРОМ
ОСОН ОСнова Оnyx

Версия ПО

7.3 (РЕД ОС)
до 6.0.18 (Redis)
от 6.2.0 до 6.2.11 (Redis)
от 7.0.0 до 7.0.9 (Redis)
12.4 (РОСА ХРОМ)
до 2.8 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
СУБД

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
АО "НППКТ" ОСОН ОСнова Оnyx до 2.8

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Redis:
Установка из доверенных источников обновлений программного обеспечения до версии 6.0.18, 6.2.11, 7.0.9.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для операционной системы РОСА ХРОМ:
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2174
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения redis до версии 5:7.0.12-1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 86%
0.02909
Низкий

6.5 Medium

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20230417-01

CVSS3: 6.5
redos
больше 2 лет назад

Уязвимость Redis

ubuntu логотип

CVE-2023-25155

CVSS3: 5.5
ubuntu
почти 3 года назад

Redis is an in-memory database that persists on disk. Authenticated users issuing specially crafted `SRANDMEMBER`, `ZRANDMEMBER`, and `HRANDFIELD` commands can trigger an integer overflow, resulting in a runtime assertion and termination of the Redis server process. This problem affects all Redis versions. Patches were released in Redis version(s) 6.0.18, 6.2.11 and 7.0.9.

redhat логотип

CVE-2023-25155

CVSS3: 6.5
redhat
почти 3 года назад

Redis is an in-memory database that persists on disk. Authenticated users issuing specially crafted `SRANDMEMBER`, `ZRANDMEMBER`, and `HRANDFIELD` commands can trigger an integer overflow, resulting in a runtime assertion and termination of the Redis server process. This problem affects all Redis versions. Patches were released in Redis version(s) 6.0.18, 6.2.11 and 7.0.9.

nvd логотип

CVE-2023-25155

CVSS3: 5.5
nvd
почти 3 года назад

Redis is an in-memory database that persists on disk. Authenticated users issuing specially crafted `SRANDMEMBER`, `ZRANDMEMBER`, and `HRANDFIELD` commands can trigger an integer overflow, resulting in a runtime assertion and termination of the Redis server process. This problem affects all Redis versions. Patches were released in Redis version(s) 6.0.18, 6.2.11 and 7.0.9.

msrc логотип

CVE-2023-25155

CVSS3: 6.5
msrc
почти 3 года назад

Integer Overflow in several Redis commands can lead to denial of service.

EPSS

Процентиль: 86%
0.02909
Низкий

6.5 Medium

CVSS3

6.8 Medium

CVSS2