Опубликованы корректирующие выпуски СУБД Redis (6.2.19, 7.2.10, 7.4.5, 8.0.3) и Valkey (8.0.4, 8.1.3), в которых устранены две уязвимости. Наиболее опасная уязвимость (CVE-2025-32023) потенциально может привести к удалённому выполнению кода на сервере из-за записи данных в область за пределами выделенного буфера. Для эксплуатации уязвимости атакующий должен иметь возможность отправки команд в СУБД.
Проблема вызвана ошибкой в реализации команд, использующих алгоритм HyperLogLog для реализации функциональности приблизительного подсчёта уникальных элементов во множестве. Через передачу специально оформленной строки атакующий может инициировать переполнение буфера. Проблема затрагивает все версии Redis с поддержкой команд HLL. В качестве обходного пути защиты можно ограничить доступ пользователей к командам HLL через ACL.
Вторая уязвимость (CVE-2025-48367) может использоваться аутентифицированным пользователем для организации отказа в обслуживании или снижения производительности СУБД. Проблема вызвана некорректной обработкой ошибок при установке соединений.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63537
(opennet.ru, мини-новости)
[ON] Уязвимости в СУБД Redis и Valkey
Модератор: Модераторы разделов
-
rssbot
- Бот
- Сообщения: 6001
- ОС: gnu/linux
[ON] Уязвимости в СУБД Redis и Valkey
Последний раз редактировалось rssbot 07.07.2025 13:32, всего редактировалось 1 раз.
Причина: Updated upstream
Причина: Updated upstream