Origine : bjCSIRT
Numéro : 2024/ALERTE/063
Date de l’alerte : 08/10/2024
APERÇU :
Plusieurs vulnérabilités de type Remote code Execution (RCE) ont été identifiées dans Redis qui permettraient à un acteur malveillant d’exécuter du code à distance.
DESCRIPTION :
Redis est un système de gestion de bases de données open source, qui prend en charge diverses structures de données comme des chaînes, des listes et des ensembles. Il est souvent utilisé pour le caching, la gestion de sessions et les applications en temps réel, tout en offrant des options de persistance des données.
Ce logiciel est affecté par plusieurs vulnérabilités libellées comme suit :
- CVE-2024-31449 : elle permettrait à un acteur malveillant authentifié d’exécuter un script spécialement conçu dans le moteur de script Lua de Redis, pour déclencher un débordement de la mémoire tampon. L’exploitation de cette vulnérabilité permettrait d’exécuter des commandes systèmes à distance avec des privilèges élevés. Cette vulnérabilité est classée élevée avec un score de sévérité de 7 selon le CVSSV3.
- CVE-2024-31228 : elle permettrait à un acteur malveillant de déclencher une attaque par déni de service (DoS) en envoyant des commandes contenant des chaînes de caractères particulièrement longues. Lorsque le système exécute ces commandes sans limites définies pour la recherche de certains motifs, il peut dépasser la capacité de la mémoire allouée à la pile d’exécution. Cette vulnérabilité est classée moyenne avec un score de sévérité de 5.5 selon le CVSSV3.
- CVE-2024-31227 : elle permettrait à un acteur malveillant authentifié de créer un sélecteur de liste de contrôle d’accès incorrect qui, lorsqu’il est consulté, déclencherait un déni de service (DoS). Cette vulnérabilité est classée moyenne avec un score de sévérité de 4.4 selon le CVSSV3.
IMPACT :
- Exécution de code à distance ;
- Compromission de l’intégrité du système ;
- Atteinte à la confidentialité des données ;
- Atteinte à la disponibilité.
SYSTÈMES AFFECTÉS :
Toutes les versions de Redis antérieures à 6.2.16;
MESURES À PRENDRE :
Mettre à jour Redis vers les versions 6.2.16, 7.2.6, 7.4.1 ou ultérieures.
RÉFÉRENCES :