ГлавнаяБаза уязвимостей БДУ → BDU:2021-04030
8.5высокая

BDU:2021-04030 (CVE-2021-32761)

Уязвимость параметра конфигурации proto-max-bulk-len системы управления базами данных (СУБД) Redis, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2021-08-12
Описание

Уязвимость параметра конфигурации proto-max-bulk-len системы управления базами данных (СУБД) Redis связана с чтением за пределами диапазона и целочисленным переполнением буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)РЕД ОС (7.2 Муром)Fedora (33)Fedora (34)Redis (от 2.2.0 до 5.0.13)Redis (от 6.0 до 6.0.15)Redis (от 6.2.0 до 6.2.5)ОС ОН «Стрелец» (1.0)ОСОН ОСнова Оnyx (до 2.5)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для Redis:
https://github.com/redis/redis/security/advisories/GHSA-8wxq-j7rp-g8wj

Дополнительный обходной путь для смягчения проблемы без исправления исполняемого файла redis-server состоит в том, чтобы запретить пользователям изменять параметр конфигурации proto-max-bulk-len. Это можно сделать с помощью ACL, чтобы запретить непривилегированным пользователям использовать команду CONFIG SET.

Для Debian:
https://lists.debian.org/debian-lts-announce/2021/07/msg00017.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/6O7AUOROBYGP5IMGJPC5HZ3R2RB6GZ5X/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/VGX7RRAWGXWXEAKJTQYSDSBO2BC3SAHD/

Для РЕД ОС:
Установка обновления с сайта производителя: http://repo.red-soft.ru/redos/7.2c/x86_64/updates/

Для ОС ОН «Стрелец»:
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#02112021regulyarnoe-obnovlenie

Для ОСОН Основа:
Обновление программного обеспечения redis до версии 5:6.0.16-1

Для ОС Astra Linux: Использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20230412SE16MD

Для ОС ОН «Стрелец»:
Обновление программного обеспечения redis до версии 5:6.0.16-1+deb11u2strelets

Оценка CVSS
Балл8.5 — высокая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2021-32761https://github.com/redis/redis/security/advisories/GHSA-8wxq-j7rp-g8wjhttps://lists.debian.org/debian-lts-announce/2021/07/msg00017.htmlhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/6O7AUOROBYGP5IMGJPC5HZ3R2RB6GZ5X/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/VGX7RRAWGXWXEAKJTQYSDSBO2BC3SAHD/http://repo.red-soft.ru/redos/7.2c/x86_64/updates/https://strelets.net/patchi-i-obnovleniya-bezopasnosti#02112021regulyarnoe-obnovleniehttps://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5/
Проверьте безопасность своего сайта и почты → Полная проверка домена