ГлавнаяБаза уязвимостей БДУ → BDU:2024-07792
9высокая

BDU:2024-07792

Уязвимость системы управления базами данных (СУБД) Redis, связанная с переполнением буфера в стеке, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-10-07
Описание

Уязвимость системы управления базами данных (СУБД) Redis связана с переполнением буфера в стеке. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путём внедрения специально сформированного lua-скрипта

Затрагиваемое ПО и версии
РОСА ХРОМ (12.4)Redis (до 6.2.16)Redis (до 7.4.1)Redis (до 7.2.6)ОСОН ОСнова Оnyx (до 2.12)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения удалённого доступа к СУБД;
- отключение/удаление неиспользуемых учётных записей пользователей;
- ограничение доступа к СУБД из внешних сетей (Интернет).
- использование виртуальных частных сетей для организации удаленного доступа (VPN) к СУБД.

Использование рекомендаций:
http://github.com/redis/redis/releases/tag/7.2.6
http://github.com/redis/redis/releases/tag/7.4.1
http://github.com/redis/redis/releases/tag/6.2.16

Обновление программного обеспечения redis до версии 5:7.0.15-2osnova2u1

Для операционной системы РОСА ХРОМ:
https://abf.rosa.ru/advisories/ROSA-SA-2025-3029

Оценка CVSS
Балл9 — высокая опасность
Источники и патчи
http://github.com/redis/redis/releases/tag/7.2.6http://github.com/redis/redis/releases/tag/7.4.1http://github.com/redis/redis/releases/tag/6.2.16https://www.cybersecurity-help.cz/vdb/SB2024100272https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.12/https://abf.rosa.ru/advisories/ROSA-SA-2025-3029
Проверьте безопасность своего сайта и почты → Полная проверка домена