BDU:2021-05037
АО "НППКТ", Redis Labs, Red Hat Inc., АО «Концерн ВНИИНС», Сообщество свободного программного обеспе Red Hat Enterprise Linux, Fedora, Redis, Astra Linux Special Edition, Red Hat Software Collections,
2021-10-04
Уязвимость параметра конфигурации set-max-intset-entries системы управления базами данных (СУБД) Redis связана с возможностью целочисленного переполнения, Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для Redis: https://github.com/redis/redis/commit/a30d367a71b7017581cf1ca104242a3c644dec0f
Запретить пользователям изменять параметр конфигурации set-max-intset-entries при помощи ACL (ограничить использование команды CONFIG SET).
Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/HTYQ5ZF37HNGTZWVNJD3VXP7I6MEEF42/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/VL5KXFN3ATM7IIM7Q4O4PWTSRGZ5744Z/
Для Debian/GNU Linux: https://security-tracker.debian.org/tracker/CVE-2021-32687
Для программных продуктов Red Hat: https://access.redhat.com/security/cve/CVE-2021-32687
Для ОС Astra Linux: Использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20230412SE16MD
Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#02112021regulyarnoe-obnovlenie
Для ОСОН Основа: Обновление программного обеспечения redis до версии 5:5.0.14-1+deb10u1
Для ОС ОН «Стрелец»: Обновление программного обеспечения redis до версии 5:6.0.16-1+deb11u2strelets