ГлавнаяБаза уязвимостей БДУ → BDU:2022-02945
3.2средняя

BDU:2022-02945 (CVE-2022-24735)

Уязвимость системы управления базами данных Redis, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-05-17
Описание

Уязвимость системы управления базами данных Redis связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Red Hat Software CollectionsFedora (34)Debian GNU/Linux (11)Fedora (35)Fedora (36)Redis (до 6.2.7)Redis (до 7.0.0)
Способ устранения

Использование рекомендаций:
Для Redis:
https://github.com/redis/redis/releases/tag/6.2.7
https://github.com/redis/redis/releases/tag/7.0.0

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2022-24735

Для Fedora:
https://bodhi.fedoraproject.org/updates/FEDORA-2022-a0a4c7eb31
https://bodhi.fedoraproject.org/updates/FEDORA-2022-44373f6778
https://bodhi.fedoraproject.org/updates/FEDORA-2022-6ed1ce2838

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-24735

Организационные меры:
- использование списка управления доступом (Access Control List (ACL)) для блокировки доступа к командам SCRIPT LOAD и EVAL

Для Astra Linux 1.6 «Смоленск»:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20230525SE16MD

Оценка CVSS
Балл3.2 — средняя опасность
Источники и патчи
https://github.com/redis/redis/pull/10651https://github.com/redis/redis/releases/tag/6.2.7https://github.com/redis/redis/releases/tag/7.0.0https://github.com/redis/redis/security/advisories/GHSA-647m-2wmq-qmvqhttps://nvd.nist.gov/vuln/detail/CVE-2022-24735https://access.redhat.com/security/cve/cve-2022-24735https://bugzilla.redhat.com/show_bug.cgi?id=2080286https://vuldb.com/ru/?id.198590
Проверьте безопасность своего сайта и почты → Полная проверка домена