Уязвимость системы управления базами данных (СУБД) Redis связана с использованием памяти после её освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование списка контроля доступа для ограничения возможности выполнения команд EVAL и EVALSHA;
- использование средств межсетевого экранирования для ограничения удалённого доступа к уязвимой системе;
- сегментирование сети с целью ограничения доступа к уязвимой системе из других подсетей;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимости;
- использование виртуальных частных сетей для организации удаленного доступа (VPN);
- ограничение доступа к уязвимой системе из внешних сетей (Интернет).
Использование рекомендаций:
https://github.com/redis/redis/commit/d5728cb5795c966c5b5b1e0f0ac576a7e69af539
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Mailion:
Обовление программного обеспечения до версии 2.3.3G или выше
Для ОСОН ОСнова Оnyx: Обновление программного обеспечения redis до версии 5:7.0.15-3osnova3u2
| Балл | 9 — критическая опасность |