Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-07792

Опубликовано: 02 окт. 2024
Источник: fstec
CVSS3: 8.8
CVSS2: 9
EPSS Низкий

Описание

Уязвимость системы управления базами данных (СУБД) Redis связана с переполнением буфера в стеке. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путём внедрения специально сформированного lua-скрипта

Вендор

Redis Labs
АО "НППКТ"

Наименование ПО

Redis
ОСОН ОСнова Оnyx

Версия ПО

до 6.2.16 (Redis)
до 7.4.1 (Redis)
до 7.2.6 (Redis)
до 2.12 (ОСОН ОСнова Оnyx)

Тип ПО

Прикладное ПО информационных систем
Операционная система

Операционные системы и аппаратные платформы

АО "НППКТ" ОСОН ОСнова Оnyx до 2.12

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения удалённого доступа к СУБД;
- отключение/удаление неиспользуемых учётных записей пользователей;
- ограничение доступа к СУБД из внешних сетей (Интернет).
- использование виртуальных частных сетей для организации удаленного доступа (VPN) к СУБД.
Использование рекомендаций:
http://github.com/redis/redis/releases/tag/7.2.6
http://github.com/redis/redis/releases/tag/7.4.1
http://github.com/redis/redis/releases/tag/6.2.16
Обновление программного обеспечения redis до версии 5:7.0.15-2osnova2u1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 80%
0.01413
Низкий

8.8 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

CVSS3: 8.8
redos
10 месяцев назад

Множественные уязвимости redis

CVSS3: 7
ubuntu
10 месяцев назад

Redis is an open source, in-memory database that persists on disk. An authenticated user may use a specially crafted Lua script to trigger a stack buffer overflow in the bit library, which may potentially lead to remote code execution. The problem exists in all versions of Redis with Lua scripting. This problem has been fixed in Redis versions 6.2.16, 7.2.6, and 7.4.1. Users are advised to upgrade. There are no known workarounds for this vulnerability.

CVSS3: 7
redhat
10 месяцев назад

Redis is an open source, in-memory database that persists on disk. An authenticated user may use a specially crafted Lua script to trigger a stack buffer overflow in the bit library, which may potentially lead to remote code execution. The problem exists in all versions of Redis with Lua scripting. This problem has been fixed in Redis versions 6.2.16, 7.2.6, and 7.4.1. Users are advised to upgrade. There are no known workarounds for this vulnerability.

CVSS3: 7
nvd
10 месяцев назад

Redis is an open source, in-memory database that persists on disk. An authenticated user may use a specially crafted Lua script to trigger a stack buffer overflow in the bit library, which may potentially lead to remote code execution. The problem exists in all versions of Redis with Lua scripting. This problem has been fixed in Redis versions 6.2.16, 7.2.6, and 7.4.1. Users are advised to upgrade. There are no known workarounds for this vulnerability.

CVSS3: 7
msrc
10 месяцев назад

Описание отсутствует

EPSS

Процентиль: 80%
0.01413
Низкий

8.8 High

CVSS3

9 Critical

CVSS2