ГлавнаяБаза уязвимостей БДУ → BDU:2015-10357
10критическая

BDU:2015-10357

Уязвимость системы управления базами данных Redis, позволяющая нарушителю выполнить произвольный Lua-байт-код
Опубликовано: 2016-07-07
Описание

Уязвимость компонента deps/lua/src/ldo.c системы управления базами данных Redis связана с некорректным преобразованием типа данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный Lua-байт-код при помощи специально сформированной eval-команды

Затрагиваемое ПО и версии
Redis (до 2.8.21)Redis (от 3.0.0 до 3.0.2)
Способ устранения

Обновление программного обеспечения до версий 2.8.21, 3.0.2 или более новых

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
http://benmmurphy.github.io/blog/2015/06/04/redis-eval-lua-sandbox-escape/http://www.debian.org/security/2015/dsa-3279http://www.openwall.com/lists/oss-security/2015/06/04/12http://www.openwall.com/lists/oss-security/2015/06/04/8http://www.openwall.com/lists/oss-security/2015/06/05/3https://github.com/antirez/redis/commit/fdf9d455098f54f7666c702ae464e6ea21e25411https://groups.google.com/forum/#%21msg/redis-db/4Y6OqK8gEyk/Dg-5cejl-eUJ
Проверьте безопасность своего сайта и почты → Полная проверка домена