ГлавнаяБаза уязвимостей БДУ → BDU:2025-08113
6высокая

BDU:2025-08113 (CVE-2025-32023)

Уязвимость сервера системы управления базами данных (СУБД) Redis, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2025-07-07
Описание

Уязвимость сервера системы управления базами данных (СУБД) Redis связана с целочисленным переполнением в буфере при выполнении команд, использующих алгоритм HyperLogLog. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код путем отправки специально сформированной HLL-команды

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)SUSE Linux Enterprise Module for Server Applications (15 SP3)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)SUSE Linux Enterprise High Performance Computing (15 SP3)Suse Linux Enterprise Server (15 SP3)Suse Linux Enterprise Server (15 SP4)Red Hat Enterprise Linux (9)SUSE Manager Retail Branch Server (4.3)SUSE Manager Proxy (4.3)SUSE Manager Server (4.3)SUSE Linux Enterprise High Performance Computing (15 SP4)SUSE Linux Enterprise Module for Server Applications (15 SP4)RedisSuse Linux Enterprise Server (15 SP3-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP3-ESPOS)SUSE Linux Enterprise High Performance Computing (15 SP3-LTSS)Suse Linux Enterprise Server (15 SP5)SUSE Linux Enterprise High Performance Computing (15 SP5)РОСА ХРОМ (12.4)SUSE Linux Enterprise Module for Server Applications (15 SP5)Red Hat Enterprise Linux (8.4 Advanced Mission Critical Update Support)SUSE Linux Enterprise High Performance Computing (15 SP4-LTSS)Suse Linux Enterprise Server (15 SP4-LTSS)Suse Linux Enterprise Server (15 SP6)SUSE Linux Enterprise Server for SAP Applications (15 SP6)SUSE Linux Enterprise High Performance Computing (15 SP6)OpenSUSE Leap (15.6)Red Hat Enterprise Linux (8.6 Update Services for SAP Solutions)
Способ устранения

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:

Компенсирующие меры:
- ограничение возможности выполнения HLL-команд;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимостей
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей.

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2025-32023

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2025-32023

Для Fedora:
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2025-8cce4f2f71
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2025-79c2e0f87a
https://bodhi.fedoraproject.org/updates/FEDORA-2025-8e2eddc063
https://bodhi.fedoraproject.org/updates/FEDORA-2025-34895333b5

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2025-32023.html

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для операционной системы РОСА ХРОМ:
https://abf.rosa.ru/advisories/ROSA-SA-2025-3029

Для ОСОН ОСнова Оnyx: Обновление программного обеспечения redis до версии 5:7.0.15-3osnova3u2

Оценка CVSS
Балл6 — высокая опасность
Источники и патчи
https://github.com/valkey-io/valkey/tagshttps://www.opennet.ru/opennews/art.shtml?num=63537https://github.com/redis/redis/security/advisories/GHSA-rp2m-q4j6-gr43https://github.com/redis/redishttps://t.me/c/1627154862/199238https://security-tracker.debian.org/tracker/CVE-2025-32023https://access.redhat.com/security/cve/cve-2025-32023https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2025-8cce4f2f71
Проверьте безопасность своего сайта и почты → Полная проверка домена