ГлавнаяБаза уязвимостей БДУ → BDU:2021-05037
7.1высокая

BDU:2021-05037 (CVE-2021-32687)

Уязвимость параметра конфигурации set-max-intset-entries системы управления базами данных (СУБД) Redis, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2021-10-20
Описание

Уязвимость параметра конфигурации set-max-intset-entries системы управления базами данных (СУБД) Redis связана с возможностью целочисленного переполнения, Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Red Hat Software CollectionsRed Hat OpenStack Platform (10.0 (Newton))Red Hat OpenStack Platform (13.0 (Queens))Fedora (33)Fedora (34)ОС ОН «Стрелец» (1.0)Debian GNU/Linux (11)Redis (до 6.2.6)Redis (до 6.0.16)Redis (до 5.0.14)ОСОН ОСнова Оnyx (до 2.4)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для Redis:
https://github.com/redis/redis/commit/a30d367a71b7017581cf1ca104242a3c644dec0f

Запретить пользователям изменять параметр конфигурации set-max-intset-entries при помощи ACL (ограничить использование команды CONFIG SET).

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/HTYQ5ZF37HNGTZWVNJD3VXP7I6MEEF42/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/VL5KXFN3ATM7IIM7Q4O4PWTSRGZ5744Z/

Для Debian/GNU Linux:
https://security-tracker.debian.org/tracker/CVE-2021-32687

Для программных продуктов Red Hat:
https://access.redhat.com/security/cve/CVE-2021-32687

Для ОС Astra Linux:
Использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20230412SE16MD

Для ОС ОН «Стрелец»:
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#02112021regulyarnoe-obnovlenie

Для ОСОН Основа:
Обновление программного обеспечения redis до версии 5:5.0.14-1+deb10u1

Для ОС ОН «Стрелец»:
Обновление программного обеспечения redis до версии 5:6.0.16-1+deb11u2strelets

Оценка CVSS
Балл7.1 — высокая опасность
Источники и патчи
https://github.com/redis/redis/commit/a30d367a71b7017581cf1ca104242a3c644dec0fhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/HTYQ5ZF37HNGTZWVNJD3VXP7I6MEEF42/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/VL5KXFN3ATM7IIM7Q4O4PWTSRGZ5744Z/https://security-tracker.debian.org/tracker/CVE-2021-32687https://access.redhat.com/security/cve/CVE-2021-32687https://www.cybersecurity-help.cz/vdb/SB2021100404https://github.com/redis/redis/security/advisories/GHSA-m3mf-8x9w-r27qhttps://nvd.nist.gov/vuln/detail/CVE-2021-32687
Проверьте безопасность своего сайта и почты → Полная проверка домена