Yossigopublished

**Nome do software vulnerável e versões afetadas** Versões do Redis anteriores à 7.0.15 Versões do Redis anteriores à 7.2.4 **Descrição** O problema está relacionado a um estouro de inteiro devido ao tratamento incorreto do redimensionamento do buffer de memória, o que pode levar a um estouro de heap e à potencial execução remota de código. O número estimado de dispositivos potencialmente afetados em todo o mundo é superior a 1,4 milhão, distribuídos principalmente na China, nos Estados Unidos e em outros países. **Recomendações** Para versões anteriores à 7.0.15, atualize para a versão 7.0.15 ou posterior. Para versões anteriores à 7.2.4, atualize para a versão 7.2.4 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões 7.0.0 a 7.0.3 do Redis **Descrição** O problema está relacionado a um estouro de pilha que pode potencialmente levar à execução remota de código. Isso ocorre quando um comando `XAUTOCLAIM` especialmente criado é executado em uma chave de fluxo em um estado específico. **Recomendações** Para as versões 7.0.0 a 7.0.3, atualize para a versão 7.0.4 para resolver o problema. Como solução temporária, considere restringir o uso do comando `XAUTOCLAIM` em chaves de stream até que o patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Versões do Redis 2.2 a 5.0.12 Versões do Redis 6.0 a 6.0.14 Versões do Redis 6.2 a 6.2.4 **Descrição** Existe uma vulnerabilidade no Redis envolvendo leitura fora dos limites e estouro de inteiro com estouro de buffer. A vulnerabilidade pode ser explorada para corromper a pilha, vazar conteúdos arbitrários da pilha ou provocar a execução remota de código. Este problema afeta o Redis em plataformas de 32 bits ou compilado como um binário de 32 bits. A vulnerabilidade envolve alterar o parâmetro de configuração padrão `proto-max-bulk-len` para um valor muito grande e construir comandos especialmente criados. **Recomendações** Para as versões 2.2 a 5.0.12 do Redis, atualize para a versão 5.0.13 ou posterior. Para as versões 6.0 a 6.0.14 do Redis, atualize para a versão 6.0.15 ou posterior. Para as versões 6.2 a 6.2.4 do Redis, atualize para a versão 6.2.5 ou posterior. Como solução alternativa temporária, impeça que os usuários modifiquem o parâmetro de configuração `proto-max-bulk-len` usando ACL para restringir o uso do comando CONFIG SET por usuários sem privilégios.