九個安全漏洞讓Redis並不能提供高可用性與高可靠性

banq發表於2021-11-10

歷史:

  • 版本 1 (2021-10-05 19:15)

    Neues Advisory

  • 版本 2 (2021-10-20 09:39)

    適用於 Oracle Linux 8 (aarch64, x86_64) 和 Red Hat Enterprise Linux 8 (x86_64, aarch64)、8.4 Extended Update Support 8.4 (x86_64, aarch64) 和 Red Hat Enterprise Linux Server - AUS / TUS 8.4 ( x86_64) 'redis: 5' 準備解決 CVE-2021-32626、CVE-2021-32627、CVE-2021-32628、CVE-2021-32687、CVE-2021-32675 和 CVE-2091-2021-2021-2021-32621。

  • 版本 3 (2021-10-21 17:32)

    對於“redis: 5”模組,還提供了適用於 Red Hat Enterprise Linux 8.1 EUS 和 8.2 EUS (x86_64, aarch64) 以及 Red Hat Linux Enterprise Server 8.2 AUS / TUS (x86_64) 的安全更新。對於 RHEL 7(伺服器、工作站)和 RHEL 7.7(伺服器)的 Red Hat Software Collections 1,“rh-redis5-redis”的安全更新可用於修復漏洞。此外,“redis: 6”模組的安全更新可用於解決 Red Hat Enterprise Linux 8 中的漏洞,包括 Red Hat Enterprise Linux - Extended Update Support 8.4 (x86_64, aarch64) 和 Red Hat Enterprise Linux Server - AUS / TUS 8.4 (x86_64),以及 Oracle Linux 8 (x86_64, aarch64)。CVE-2021-32672 和 CVE-2021-32762 未列在任何相關的安全公告中。

  • 版本 4 (2021-10-26 09:56)

    Red Hat 已針對 Red Hat OpenStack Platform 10 (Newton) 和 13 (Queens) 釋出了 Redis 安全更新以解決這些漏洞。

  • 版本 5 (2021-11-05 15:32)

    “redis”版本 3 的安全更新可用於 Debian 9 Stretch (LTS):3.2.6-3 + deb9u8 以解決漏洞 CVE-2021-32626、CVE-2021-32672、CVE-2021-32675、CVE- 2021-32687、CVE-2021-32762 和 CVE-2021-41099。

  • 版本 6 (2021-11-08 09:22)

    版本 5:5.0.14-1 + deb10u1 可用於 Debian 10 Buster(oldstable),版本 5:6.0.16-1 + deb11u1 by 'redis' 可作為 Debian 11 Bullseye(穩定版)的安全更新。這將軟體更新到版本 5.0.14,該版本還修復了 CVE-2021-32761 漏洞,低許可權的攻擊者可以遠端利用該漏洞執行任意程式程式碼並窺探資訊。

受影響的軟體

中介軟體伺服器 開發

受影響的平臺

Linux甲骨文

描述:

攻擊者可以遠端利用多個漏洞來窺探資訊、執行任意程式程式碼並進行拒絕服務 (DoS) 攻擊。大多數要利用的漏洞都需要標準許可權。製造商確認漏洞併發布版本 5.0.14、6.0.16 和 6.2.6 以進行更正。對於 Fedora 33 和 Fedora 34,安全更新以“redis-6.0.16-1.fc33”和“redis-6.2.6-1.fc34”包的形式提供,處於“測試”狀態以修復漏洞.

 

弱點:

CVE-2021-32626

Redis 漏洞允許執行任意程式程式碼

CVE-2021-32627

Redis 漏洞允許執行任意程式程式碼

CVE-2021-32628

Redis 漏洞允許執行任意程式程式碼

CVE-2021-32672

Redis 中的漏洞使資訊可以被監視

CVE-2021-32675

Redis 漏洞啟用拒絕服務攻擊

CVE-2021-32687

Redis 的一個弱點是可以執行任何程式程式碼

CVE-2021-32761

Redis 的一個弱點是可以執行任何程式程式碼

CVE-2021-32762

Redis 漏洞允許執行任意程式程式碼

CVE-2021-41099

Redis 漏洞允許執行任意程式程式碼

點選標題

相關文章