CVE-2024-55656

Nome do Software Vulnerável e Versões Afetadas Versões do RedisBloom anteriores a 2.2.19 Versões do RedisBloom anteriores a 2.4.12 Versões do RedisBloom anteriores a 2.6.14 Versões do RedisBloom anteriores a 2.8.2

Descrição Existe uma vulnerabilidade de overflow de inteiro no RedisBloom, um módulo utilizado no Redis. Esta vulnerabilidade permite que um atacante, que seja um cliente Redis com conhecimento da senha, aloque memória na heap menor do que a memória necessária devido ao wraparound. Como resultado, operações de leitura e escrita podem ser realizadas além da memória alocada, levando a vazamentos de informações e gravações fora dos limites. O overflow de inteiro está localizado no comando CMS.INITBYDIM, que inicializa um Count-Min Sketch com dimensões especificadas pelo usuário. Ele aceita dois valores, width e depth, e os utiliza para alocar memória em NewCMSketch().

Recomendações Para versões anteriores a 2.2.19, atualize para a versão 2.2.19 ou posterior. Para versões anteriores a 2.4.12, atualize para a versão 2.4.12 ou posterior. Para versões anteriores a 2.6.14, atualize para a versão 2.6.14 ou posterior. Para versões anteriores a 2.8.2, atualize para a versão 2.8.2 ou posterior. Como solução temporária, considere restringir o acesso ao comando CMS.INITBYDIM até que um patch esteja disponível. Evite utilizar os parâmetros width e depth no comando CMS.INITBYDIM para minimizar o risco de exploração.