BDU:2021-04030
АО "НППКТ", Pivotal Software Inc., ООО «Ред Софт», АО «Концерн ВНИИНС», Сообщество свободного програ Fedora, Redis, Astra Linux Special Edition, ОС ОН «Стрелец», Debian GNU/Linux, ОСОН ОСнова Оnyx, РЕД
2021-07-21
Уязвимость параметра конфигурации proto-max-bulk-len системы управления базами данных (СУБД) Redis связана с чтением за пределами диапазона и целочисленным переполнением буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для Redis: https://github.com/redis/redis/security/advisories/GHSA-8wxq-j7rp-g8wj
Дополнительный обходной путь для смягчения проблемы без исправления исполняемого файла redis-server состоит в том, чтобы запретить пользователям изменять параметр конфигурации proto-max-bulk-len. Это можно сделать с помощью ACL, чтобы запретить непривилегированным пользователям использовать команду CONFIG SET.
Для Debian: https://lists.debian.org/debian-lts-announce/2021/07/msg00017.html
Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/6O7AUOROBYGP5IMGJPC5HZ3R2RB6GZ5X/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/VGX7RRAWGXWXEAKJTQYSDSBO2BC3SAHD/
Для РЕД ОС: Установка обновления с сайта производителя: http://repo.red-soft.ru/redos/7.2c/x86_64/updates/
Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#02112021regulyarnoe-obnovlenie
Для ОСОН Основа: Обновление программного обеспечения redis до версии 5:6.0.16-1
Для ОС Astra Linux: Использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20230412SE16MD
Для ОС ОН «Стрелец»: Обновление программного обеспечения redis до версии 5:6.0.16-1+deb11u2strelets