PT-2021-2993 · Redis+4 · Redis+4

Oranagrapu

Publicado

2021-05-04

Atualizado

2024-06-15

CVE-2021-29477

CVSS v2.0

Alta

Vetor

AV:N/AC:L/Au:N/C:C/I:C/A:C

Nome do software vulnerável e versões afetadas

Versões do Redis 6.0 a 6.2.2

Versões do Redis 6.0 a 6.0.12

Descrição

O problema está relacionado a um bug de estouro de inteiro no Redis que pode ser explorado usando o comando STRALGO LCS para corromper a pilha (heap) e, potencialmente, resultar na execução remota de código. Isso pode permitir que um invasor remoto execute código arbitrário.

Recomendações

Para as versões do Redis 6.0 a 6.2.2, atualize para a versão 6.2.3 ou posterior.

Para as versões do Redis 6.0 a 6.0.12, atualize para a versão 6.0.13 ou posterior.

Como solução alternativa temporária, considere usar a configuração de ACL para impedir que os clientes utilizem o comando STRALGO LCS até que um patch seja aplicado.

Correção

RCE

Integer Overflow

Out of bounds Read

Memory Corruption

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-190CWE-125CWE-787

Identificadores relacionados

BDU:2021-02583

CESA-2021_2034

CVE-2021-29477

GHSA-VQXJ-26VJ-996G

MGASA-2021-0373

OESA-2022-1883

OPENSUSE-SU-2021:0682-1

OPENSUSE-SU-2021_0682-1

OPENSUSE-SU-2024:11299-1

RHSA-2021:2034

RHSA-2021_2034

RLSA-2021:2034

SUSE-SU-2021:1652-1

Produtos afetados

Centos

Red Hat

Redis

Rocky Linux

Suse

PT-2021-2993 · Redis+4 · Redis+4

CVE-2021-29477

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 60