Multiples vulnérabilités de type exécution de code à distance affectant Redis

Auteur/autrice de la publication :
Post published:8 octobre 2024
Post category:Alertes et Avis

Origine : bjCSIRT

Numéro : 2024/ALERTE/063

Date de l’alerte : 08/10/2024

APERÇU :

Plusieurs vulnérabilités de type Remote code Execution (RCE) ont été identifiées dans Redis qui permettraient à un acteur malveillant d’exécuter du code à distance.

DESCRIPTION :

Redis est un système de gestion de bases de données open source, qui prend en charge diverses structures de données comme des chaînes, des listes et des ensembles. Il est souvent utilisé pour le caching, la gestion de sessions et les applications en temps réel, tout en offrant des options de persistance des données.

Ce logiciel est affecté par plusieurs vulnérabilités libellées comme suit :

CVE-2024-31449 : elle permettrait à un acteur malveillant authentifié d’exécuter un script spécialement conçu dans le moteur de script Lua de Redis, pour déclencher un débordement de la mémoire tampon. L’exploitation de cette vulnérabilité permettrait d’exécuter des commandes systèmes à distance avec des privilèges élevés. Cette vulnérabilité est classée élevée avec un score de sévérité de 7 selon le CVSSV3.

CVE-2024-31228 : elle permettrait à un acteur malveillant de déclencher une attaque par déni de service (DoS) en envoyant des commandes contenant des chaînes de caractères particulièrement longues. Lorsque le système exécute ces commandes sans limites définies pour la recherche de certains motifs, il peut dépasser la capacité de la mémoire allouée à la pile d’exécution. Cette vulnérabilité est classée moyenne avec un score de sévérité de 5.5 selon le CVSSV3.

CVE-2024-31227 : elle permettrait à un acteur malveillant authentifié de créer un sélecteur de liste de contrôle d’accès incorrect qui, lorsqu’il est consulté, déclencherait un déni de service (DoS). Cette vulnérabilité est classée moyenne avec un score de sévérité de 4.4 selon le CVSSV3.

IMPACT :

Exécution de code à distance ;
Compromission de l’intégrité du système ;
Atteinte à la confidentialité des données ;
Atteinte à la disponibilité.

SYSTÈMES AFFECTÉS :

Toutes les versions de Redis antérieures à 6.2.16;

MESURES À PRENDRE :

Mettre à jour Redis vers les versions 6.2.16, 7.2.6, 7.4.1 ou ultérieures.

RÉFÉRENCES :

Partagez sur vos réseaux.

Multiples vulnérabilités de type exécution de code à distance affectant Redis

Déclarations

Liens Utiles

Vous devriez également aimer

Multiples vulnérabilités affectant l’outil Zabbix

Vulnérabilité de type débordement de tampon basée sur le tas dans Google Chrome, Firefox.

Vulnérabilité de type injection de commandes dans l’API COMMAND de Rust sous Windows