Redis de Redis Fallos de seguridad encontrados

Vulnerabilidades CVE de Redis de Redis

Redis es una base de datos en memoria que persiste en el disco

CVE-2023-28425 : A partir de la versión 7.0.8 y antes de la versión 7.0.10, los usuarios autenticados pueden usar el comando MSETNX para activar una aserción en tiempo de ejecución y la terminación del proceso del servidor Redis. El problema está solucionado en Redis versión 7.0.10.

CVE-2023-25155 : Los usuarios autenticados que emiten los comandos especialmente diseñados `SRANDMEMBER`, `ZRANDMEMBER` y `HRANDFIELD` pueden desencadenar un desbordamiento de enteros, lo que da como resultado una aserción en tiempo de ejecución y la terminación del proceso del servidor Redis. Este problema afecta a todas las versiones de Redis. Los parches se lanzaron en las versiones de Redis 6.0.18, 6.2.11 y 7.0.9.
CVE-2022-36021 : Los usuarios autenticados pueden usar comandos de coincidencia de cadenas (como `SCAN` o `KEYS`) con un patrón especialmente diseñado para desencadenar un ataque de denegación de servicio en Redis, lo que hace que se cuelgue y consuma el 100 % del tiempo de CPU. El problema se solucionó en las versiones de Redis 6.0.18, 6.2.11, 7.0.9.

CVE-2023-28425 : https://github.com/redis/redis/security/advisories/GHSA-mvmm-4vq6-vw8c
CVE-2023-25155 : https://github.com/redis/redis/releases/tag/6.0.18
CVE-2022-36021 : https://github.com/redis/redis/commit/dcbfcb916ca1a269b3feef86ee86835294758f84

Sin usted, esta web no existiria. Gracias por visitarme, espero que le haya gustado y vuelva. Muchas gracias ☺️

Fecha actualización el 2023-03-25. Fecha publicación el 2023-03-06. Autor: Oscar olg Mapa del sitio Fuente: cve report