Redis до версии 8.0.3 позволяет вызвать потребление большого объёма памяти с помощью multi-bulk команды, содержащей множество bulks, отправ…
Redis до версии 8.0.3 позволяет вызвать потребление большого объёма памяти с помощью multi-bulk команды, содержащей множество bulks, отправленной аутентифицированным пользователем. Сервер выделяет память для аргументов команды в каждом bulk, даже если команда пропускается из-за недостатка прав доступа. При этом, согласно заявлению поставщика, данная проблема не является нарушением модели безопасности Redis, так как злоупотребление сетевым протоколом не считается уязвимостью [1]. Источники: - [1] https://github.com/redis/redis/security/advisories/GHSA-2r7g-8hpc-rpq9 - [2] https://github.com/io-no/CVE-Reports/issues/1 - [3] https://github.com/redis/redis
Продукт не отслеживает должным образом и не освобождает выделенную память после её использования, делая память недоступной для повторного выделения и использования.
https://cwe.mitre.org/data/definitions/401.html →Открыть в коллекции CWE →