九个安全漏洞让Redis并不能提供高可用性与高可靠性

21-11-10 banq

历史:

  • 版本 1 (2021-10-05 19:15)
    Neues Advisory
  • 版本 2 (2021-10-20 09:39)
    适用于 Oracle Linux 8 (aarch64, x86_64) 和 Red Hat Enterprise Linux 8 (x86_64, aarch64)、8.4 Extended Update Support 8.4 (x86_64, aarch64) 和 Red Hat Enterprise Linux Server - AUS / TUS 8.4 ( x86_64) 'redis: 5' 准备解决 CVE-2021-32626、CVE-2021-32627、CVE-2021-32628、CVE-2021-32687、CVE-2021-32675 和 CVE-2091-2021-2021-2021-32621。
  • 版本 3 (2021-10-21 17:32)
    对于“redis: 5”模块,还提供了适用于 Red Hat Enterprise Linux 8.1 EUS 和 8.2 EUS (x86_64, aarch64) 以及 Red Hat Linux Enterprise Server 8.2 AUS / TUS (x86_64) 的安全更新。对于 RHEL 7(服务器、工作站)和 RHEL 7.7(服务器)的 Red Hat Software Collections 1,“rh-redis5-redis”的安全更新可用于修复漏洞。此外,“redis: 6”模块的安全更新可用于解决 Red Hat Enterprise Linux 8 中的漏洞,包括 Red Hat Enterprise Linux - Extended Update Support 8.4 (x86_64, aarch64) 和 Red Hat Enterprise Linux Server - AUS / TUS 8.4 (x86_64),以及 Oracle Linux 8 (x86_64, aarch64)。CVE-2021-32672 和 CVE-2021-32762 未列在任何相关的安全公告中。
  • 版本 4 (2021-10-26 09:56)
    Red Hat 已针对 Red Hat OpenStack Platform 10 (Newton) 和 13 (Queens) 发布了 Redis 安全更新以解决这些漏洞。
  • 版本 5 (2021-11-05 15:32)
    “redis”版本 3 的安全更新可用于 Debian 9 Stretch (LTS):3.2.6-3 + deb9u8 以解决漏洞 CVE-2021-32626、CVE-2021-32672、CVE-2021-32675、CVE- 2021-32687、CVE-2021-32762 和 CVE-2021-41099。
  • 版本 6 (2021-11-08 09:22)
    版本 5:5.0.14-1 + deb10u1 可用于 Debian 10 Buster(oldstable),版本 5:6.0.16-1 + deb11u1 by 'redis' 可作为 Debian 11 Bullseye(稳定版)的安全更新。这将软件更新到版本 5.0.14,该版本还修复了 CVE-2021-32761 漏洞,低权限的攻击者可以远程利用该漏洞执行任意程序代码并窥探信息。

受影响的软件
中间件服务器 开发

受影响的平台
Linux甲骨文

描述:
攻击者可以远程利用多个漏洞来窥探信息、执行任意程序代码并进行拒绝服务 (DoS) 攻击。大多数要利用的漏洞都需要标准权限。制造商确认漏洞并发布版本 5.0.14、6.0.16 和 6.2.6 以进行更正。对于 Fedora 33 和 Fedora 34,安全更新以“redis-6.0.16-1.fc33”和“redis-6.2.6-1.fc34”包的形式提供,处于“测试”状态以修复漏洞.
 

弱点:
CVE-2021-32626
Redis 漏洞允许执行任意程序代码
CVE-2021-32627
Redis 漏洞允许执行任意程序代码
CVE-2021-32628
Redis 漏洞允许执行任意程序代码
CVE-2021-32672
Redis 中的漏洞使信息可以被监视
CVE-2021-32675
Redis 漏洞启用拒绝服务攻击
CVE-2021-32687
Redis 的一个弱点是可以执行任何程序代码
CVE-2021-32761
Redis 的一个弱点是可以执行任何程序代码
CVE-2021-32762
Redis 漏洞允许执行任意程序代码
CVE-2021-41099
Redis 漏洞允许执行任意程序代码

点击标题