BDU:2025-12553
ООО «Новые Облачные Технологии», ООО «Ред Софт», Redis Labs Mailion, РЕД ОС, Redis
2025-10-03
Уязвимость системы управления базами данных (СУБД) Redis связана с использованием памяти после её освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры: - использование списка контроля доступа для ограничения возможности выполнения команд EVAL и EVALSHA; - использование средств межсетевого экранирования для ограничения удалённого доступа к уязвимой системе; - сегментирование сети с целью ограничения доступа к уязвимой системе из других подсетей; - использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимости; - использование виртуальных частных сетей для организации удаленного доступа (VPN); - ограничение доступа к уязвимой системе из внешних сетей (Интернет).
Использование рекомендаций: https://github.com/redis/redis/commit/d5728cb5795c966c5b5b1e0f0ac576a7e69af539
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Mailion: Обовление программного обеспечения до версии 2.3.3G или выше