Redis Labs Redis 缓冲区错误漏洞

CVE编号

CVE-2021-32672

利用情况

暂无

补丁情况

官方补丁

披露时间

2021-10-05

漏洞描述

Redis Labs Redis是美国Redis Labs公司的一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值（Key-Value）存储数据库，并提供多种语言的API。 Redis 存在缓冲区错误漏洞，当使用Redis Lua调试器时，用户可以发送错误的请求，导致调试器的协议解析器读取超出实际缓冲区的数据。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://github.com/redis/redis/security/advisories/GHSA-9mj9-xx53-qmxm

参考链接
https://github.com/redis/redis/commit/6ac3c0b7abd35f37201ed2d6298ecef4ea1ae1dd
https://github.com/redis/redis/security/advisories/GHSA-9mj9-xx53-qmxm
https://lists.fedoraproject.org/archives/list/[email protected]...
https://lists.fedoraproject.org/archives/list/[email protected]...
https://lists.fedoraproject.org/archives/list/[email protected]...
https://security.netapp.com/advisory/ntap-20211104-0003/
https://www.debian.org/security/2021/dsa-5001

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	redhat	software_collections	-	-
	运行在以下环境
	应用	redislabs	redis	*	From (including) 3.2.0	Up to (excluding) 5.0.14
	运行在以下环境
	应用	redislabs	redis	*	From (including) 6.0.0	Up to (excluding) 6.0.16
	运行在以下环境
	应用	redislabs	redis	*	From (including) 6.2.0	Up to (excluding) 6.2.6
	运行在以下环境
	系统	alpine_3.11	redis	*		Up to (excluding) 5.0.14-r0
	运行在以下环境
	系统	alpine_3.12	redis	*		Up to (excluding) 5.0.14-r0
	运行在以下环境
	系统	alpine_3.13	redis	*		Up to (excluding) 6.0.16-r0
	运行在以下环境
	系统	alpine_3.14	redis	*		Up to (excluding) 6.2.6-r0
	运行在以下环境
	系统	alpine_3.15	redis	*		Up to (excluding) 6.2.6-r0
	运行在以下环境
	系统	alpine_edge	redis	*		Up to (excluding) 6.2.6-r0
	运行在以下环境
	系统	debian_10	redis	*		Up to (excluding) 5:5.0.14-1+deb10u1
	运行在以下环境
	系统	debian_11	redis	*		Up to (excluding) 5:6.0.16-1+deb11u1
	运行在以下环境
	系统	debian_9	redis	*		Up to (excluding) 3:3.2.6-3+deb9u8
	运行在以下环境
	系统	fedora_33	redis	*		Up to (excluding) 6.0.16-1.fc33
	运行在以下环境
	系统	fedora_34	redis	*		Up to (excluding) 6.2.6-1.fc34
	运行在以下环境
	系统	fedora_35	redis	*		Up to (excluding) 6.2.6-1.fc35
	运行在以下环境
	系统	opensuse_Leap_15.3	redis	*		Up to (excluding) 6.0.14-6.8.1

攻击路径远程
攻击复杂度复杂
权限要求无需权限
影响范围有限影响
EXP成熟度未验证
补丁情况官方补丁
数据保密性无影响
数据完整性无影响
服务器危害无影响
全网数量 N/A

CWE-ID 漏洞类型 CWE-125 跨界内存读

正文

Redis Labs Redis 缓冲区错误漏洞

漏洞描述

解决建议

参考链接

受影响软件情况

相关阅读

IBM Tivoli Federated Identity Manager up to 6.2.2 FP15 跨站脚本攻击

IBM WebSphere MQ Light拒绝服务漏洞

IBM Security Network Protection GSKit信息泄露漏洞

NetApp Data ONTAP信息泄露漏洞

发表评论取消回复

还没有评论，来说两句吧...

目录[+]