CVE-2021-29477

DEB

Высокий

Redis — это хранилище структур данных в памяти с открытым исходным кодом (лицензия BSD), используемое в качестве базы данных, кэша и брокер…

CVSS

8.8

Высокий

EPSS

0.04

p89

Опубликовано

2021-01-01

Обновлено

2021-01-01

Описание

Redis — это хранилище структур данных в памяти с открытым исходным кодом (лицензия BSD), используемое в качестве базы данных, кэша и брокера сообщений. Ошибка переполнения целого числа в Redis версии 6.0 или новее может быть использована с помощью команды `STRALGO LCS` для повреждения кучи и потенциально привести к удаленному выполнению кода. Проблема устранена в версиях 6.2.3 и 6.0.13. Дополнительным обходным путем для смягчения проблемы без исправления исполняемого файла redis-server является использование конфигурации ACL для предотвращения использования клиентами команды `STRALGO LCS`.

Теги · CWE

CWE-190

CAPEC-92

Затронутые продукты

Fedora

Вектор CVSS

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Хронология

2021-01-01

Опубликована

2021-01-01

Обновлена

Разбор CVSS 3.1

Вектор атаки

AV: N

Сеть (N)

Сложность атаки

AC: L

Низкая (L)

Требуемые привилегии

PR: L

Низкие (L)

Взаимодействие с пользователем

UI: N

Отсутствует (N)

Область воздействия

S: U

Неизменная (U)

Воздействие на конфиденциальность

C: H

Высокое (H)

Воздействие на целостность

I: H

Высокое (H)

Воздействие на доступность

A: H

Высокое (H)

Индикаторы эксплуатации

EPSS

0.042 · p89

Известна эксплуатация (KEV)

Нет

Проверки Сканер-ВС

Проверок Сканер-ВС для этой уязвимости в базе пока нет.

Затронутые продукты

Продукт	Вендор	Статус
redis		Отслеживается
redis		Отслеживается
redis		Отслеживается
redis		Отслеживается
redis		Отслеживается
redis		Отслеживается
redis		Отслеживается
redis		Отслеживается
redis		Отслеживается
redis		Отслеживается
redis		Отслеживается
redis		Отслеживается
fedora	*	Отслеживается
redis	*	Отслеживается

Источники данных

DEB

CVE

RED

UBU

Связанные уязвимости

BDU:2021-02583