九个安全漏洞让Redis并不能提供高可用性与高可靠性

21-11-10 banq

历史:

  • 版本 1 (2021-10-05 19:15)

    Neues Advisory

  • 版本 2 (2021-10-20 09:39)

    适用于 Oracle Linux 8 (aarch64, x86_64) 和 Red Hat Enterprise Linux 8 (x86_64, aarch64)、8.4 Extended Update Support 8.4 (x86_64, aarch64) 和 Red Hat Enterprise Linux Server - AUS / TUS 8.4 ( x86_64) 'redis: 5' 准备解决 CVE-2021-32626、CVE-2021-32627、CVE-2021-32628、CVE-2021-32687、CVE-2021-32675 和 CVE-2091-2021-2021-2021-32621。

  • 版本 3 (2021-10-21 17:32)

    对于“redis: 5”模块,还提供了适用于 Red Hat Enterprise Linux 8.1 EUS 和 8.2 EUS (x86_64, aarch64) 以及 Red Hat Linux Enterprise Server 8.2 AUS / TUS (x86_64) 的安全更新。对于 RHEL 7(服务器、工作站)和 RHEL 7.7(服务器)的 Red Hat Software Collections 1,“rh-redis5-redis”的安全更新可用于修复漏洞。此外,“redis: 6”模块的安全更新可用于解决 Red Hat Enterprise Linux 8 中的漏洞,包括 Red Hat Enterprise Linux - Extended Update Support 8.4 (x86_64, aarch64) 和 Red Hat Enterprise Linux Server - AUS / TUS 8.4 (x86_64),以及 Oracle Linux 8 (x86_64, aarch64)。CVE-2021-32672 和 CVE-2021-32762 未列在任何相关的安全公告中。

  • 版本 4 (2021-10-26 09:56)

    Red Hat 已针对 Red Hat OpenStack Platform 10 (Newton) 和 13 (Queens) 发布了 Redis 安全更新以解决这些漏洞。

  • 版本 5 (2021-11-05 15:32)

    “redis”版本 3 的安全更新可用于 Debian 9 Stretch (LTS):3.2.6-3 + deb9u8 以解决漏洞 CVE-2021-32626、CVE-2021-32672、CVE-2021-32675、CVE- 2021-32687、CVE-2021-32762 和 CVE-2021-41099。

  • 版本 6 (2021-11-08 09:22)

    版本 5:5.0.14-1 + deb10u1 可用于 Debian 10 Buster(oldstable),版本 5:6.0.16-1 + deb11u1 by 'redis' 可作为 Debian 11 Bullseye(稳定版)的安全更新。这将软件更新到版本 5.0.14,该版本还修复了 CVE-2021-32761 漏洞,低权限的攻击者可以远程利用该漏洞执行任意程序代码并窥探信息。

受影响的软件

中间件服务器 开发

受影响的平台

Linux甲骨文

描述:

攻击者可以远程利用多个漏洞来窥探信息、执行任意程序代码并进行拒绝服务 (DoS) 攻击。大多数要利用的漏洞都需要标准权限。制造商确认漏洞并发布版本 5.0.14、6.0.16 和 6.2.6 以进行更正。对于 Fedora 33 和 Fedora 34,安全更新以“redis-6.0.16-1.fc33”和“redis-6.2.6-1.fc34”包的形式提供,处于“测试”状态以修复漏洞.

 

弱点:

CVE-2021-32626

Redis 漏洞允许执行任意程序代码

CVE-2021-32627

Redis 漏洞允许执行任意程序代码

CVE-2021-32628

Redis 漏洞允许执行任意程序代码

CVE-2021-32672

Redis 中的漏洞使信息可以被监视

CVE-2021-32675

Redis 漏洞启用拒绝服务攻击

CVE-2021-32687

Redis 的一个弱点是可以执行任何程序代码

CVE-2021-32761

Redis 的一个弱点是可以执行任何程序代码

CVE-2021-32762

Redis 漏洞允许执行任意程序代码

CVE-2021-41099

Redis 漏洞允许执行任意程序代码

点击标题

猜你喜欢