Уязвимость системы управления базами данных (СУБД) Redis связана с переполнением буфера в стеке. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путём внедрения специально сформированного lua-скрипта
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения удалённого доступа к СУБД;
- отключение/удаление неиспользуемых учётных записей пользователей;
- ограничение доступа к СУБД из внешних сетей (Интернет).
- использование виртуальных частных сетей для организации удаленного доступа (VPN) к СУБД.
Использование рекомендаций:
http://github.com/redis/redis/releases/tag/7.2.6
http://github.com/redis/redis/releases/tag/7.4.1
http://github.com/redis/redis/releases/tag/6.2.16
Обновление программного обеспечения redis до версии 5:7.0.15-2osnova2u1
Для операционной системы РОСА ХРОМ:
https://abf.rosa.ru/advisories/ROSA-SA-2025-3029
| Балл | 9 — высокая опасность |