Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-07792

Опубликовано: 02 окт. 2024
Источник: fstec
CVSS3: 8.8
CVSS2: 9
EPSS Средний

Описание

Уязвимость системы управления базами данных (СУБД) Redis связана с переполнением буфера в стеке. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путём внедрения специально сформированного lua-скрипта

Вендор

АО «НТЦ ИТ РОСА»
Redis Labs
АО "НППКТ"

Наименование ПО

РОСА ХРОМ
Redis
ОСОН ОСнова Оnyx

Версия ПО

12.4 (РОСА ХРОМ)
до 6.2.16 (Redis)
до 7.4.1 (Redis)
до 7.2.6 (Redis)
до 2.12 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
СУБД

Операционные системы и аппаратные платформы

АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
АО "НППКТ" ОСОН ОСнова Оnyx до 2.12

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8,8)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения удалённого доступа к СУБД;
- отключение/удаление неиспользуемых учётных записей пользователей;
- ограничение доступа к СУБД из внешних сетей (Интернет).
- использование виртуальных частных сетей для организации удаленного доступа (VPN) к СУБД.
Использование рекомендаций:
http://github.com/redis/redis/releases/tag/7.2.6
http://github.com/redis/redis/releases/tag/7.4.1
http://github.com/redis/redis/releases/tag/6.2.16
Обновление программного обеспечения redis до версии 5:7.0.15-2osnova2u1
Для операционной системы РОСА ХРОМ:
https://abf.rosa.ru/advisories/ROSA-SA-2025-3029

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 98%
0.58371
Средний

8.8 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

redos логотип

ROS-20241017-05

CVSS3: 8.8
redos
около 1 года назад

Множественные уязвимости redis

ubuntu логотип

CVE-2024-31449

CVSS3: 7
ubuntu
больше 1 года назад

Redis is an open source, in-memory database that persists on disk. An authenticated user may use a specially crafted Lua script to trigger a stack buffer overflow in the bit library, which may potentially lead to remote code execution. The problem exists in all versions of Redis with Lua scripting. This problem has been fixed in Redis versions 6.2.16, 7.2.6, and 7.4.1. Users are advised to upgrade. There are no known workarounds for this vulnerability.

redhat логотип

CVE-2024-31449

CVSS3: 7
redhat
больше 1 года назад

Redis is an open source, in-memory database that persists on disk. An authenticated user may use a specially crafted Lua script to trigger a stack buffer overflow in the bit library, which may potentially lead to remote code execution. The problem exists in all versions of Redis with Lua scripting. This problem has been fixed in Redis versions 6.2.16, 7.2.6, and 7.4.1. Users are advised to upgrade. There are no known workarounds for this vulnerability.

nvd логотип

CVE-2024-31449

CVSS3: 7
nvd
больше 1 года назад

Redis is an open source, in-memory database that persists on disk. An authenticated user may use a specially crafted Lua script to trigger a stack buffer overflow in the bit library, which may potentially lead to remote code execution. The problem exists in all versions of Redis with Lua scripting. This problem has been fixed in Redis versions 6.2.16, 7.2.6, and 7.4.1. Users are advised to upgrade. There are no known workarounds for this vulnerability.

msrc логотип

CVE-2024-31449

CVSS3: 7
msrc
около 1 года назад

Lua library commands may lead to stack overflow and RCE in Redis

EPSS

Процентиль: 98%
0.58371
Средний

8.8 High

CVSS3

9 Critical

CVSS2