ClickCease Mehrere Redis-Schwachstellen in Ubuntu behoben

Inhaltsübersicht

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Mehrere Redis-Schwachstellen in Ubuntu behoben

Rohan Timalsina

12. März 2024. TuxCare-Expertenteam

Redis ist ein Open-Source-Speicher für Datenstrukturen im Arbeitsspeicher, der oft auch als Key-Value-Speicher bezeichnet wird. Er wird als Datenbank, Cache und Message Broker verwendet. Redis unterstützt verschiedene Datenstrukturen wie Strings, Hashes, Listen, Sets, sortierte Sets, Bitmaps, Hyperlogs und geospatiale Indizes und ist damit extrem vielseitig. Wie jede Software ist jedoch auch Redis nicht gegen Schwachstellen gefeit. Kürzlich wurden mehrere Redis-Schwachstellen in Debian- und Ubuntu-Systemen behoben, die potenzielle Risiken für seine Benutzer darstellen.

In diesem Artikel befassen wir uns mit diesen Schwachstellen, ihren Auswirkungen und den Lösungen, die zu ihrer Beseitigung zur Verfügung stehen.

 

Redis-Sicherheitsschwachstellen

 

CVE-2022-24834

Seiya Nakata und Yudai Fujiwara haben ein Problem identifiziert, bei dem Redis bestimmte Lua-Skripte nicht richtig behandelt. Dieser Fehler könnte zu Heap Corruption und der Ausführung von beliebigem Code führen, was böswilligen Akteuren die Möglichkeit eröffnet, Redis-Systeme auszunutzen.

 

CVE-2022-35977

Die von SeungHyun Lee entdeckte Schwachstelle besteht darin, dass Redis speziell gestaltete Befehle falsch behandelt und einen Integer-Überlauf auslöst. Dies kann dazu führen, dass Redis unmögliche Mengen an Speicher zuweist, was zu einem Denial-of-Service durch Anwendungsabstürze führt.

 

CVE-2022-36021

Tom Levy entdeckte eine Schwachstelle in Redis im Zusammenhang mit manipulierten String-Matching-Mustern. Das Ausnutzen dieser Schwachstelle könnte Redis zum Hängen bringen und so zu einem Denial-of-Service führen.

 

CVE-2023-25155

Yupeng Yang entdeckte ein Problem in Redis, bei dem speziell gestaltete Befehle einen Integer-Überlauf auslösen können, was zu einem Denial-of-Service durch Absturz der Anwendung führt.

 

CVE-2023-28856

Diese Schwachstelle zeigt, dass Redis einen speziell gestalteten Befehl nicht korrekt behandelt. Das Ausnutzen dieser Schwachstelle könnte zur Erstellung eines ungültigen Hash-Feldes führen, was bei zukünftigen Zugriffen zum Absturz von Redis führen könnte.

 

CVE-2023-45145

Alexander Aleksandrovič Klimov fand heraus, dass Redis fälschlicherweise einen Unix-Socket abhörte, bevor die richtigen Berechtigungen gesetzt wurden. Dieser Fehler könnte es lokalen Angreifern ermöglichen, unter Umgehung der vorgesehenen Berechtigungen eine Verbindung herzustellen.

 

Maßnahmen zur Schadensbegrenzung

 

Um diese Schwachstellen zu beheben und die Systemsicherheit zu gewährleisten, hat das Sicherheitsteam von Ubuntu und Debian Sicherheitsaktualisierungen für die verschiedenen unterstützten Versionen veröffentlicht. Diese Aktualisierungen enthalten Patches, die die identifizierten Schwachstellen entschärfen; daher ist es wichtig, das Redis-Paket zu aktualisieren, um sich vor einer möglichen Ausnutzung zu schützen.

 

Absicherung von Ubuntu-Systemen am Ende ihrer Lebensdauer

 

Diese Sicherheitslücken betreffen auch die älteren Ubuntu-Betriebssysteme, einschließlich Ubuntu 14.04, 16.04 und 18.04. Diese Systeme werden nie die offiziellen Sicherheitsupdates erhalten, es sei denn, Sie entscheiden sich für ein Ubuntu Pro-Abonnement. Dies ist jedoch nicht die einzige Möglichkeit, die Sicherheitsunterstützung zu erweitern.

Sie können sich für eine viel günstigere Option entscheiden, den Extended Lifecycle Support von TuxCare, der fünf zusätzliche Jahre Sicherheits-Patches in Herstellerqualität für Ubuntu 16.04 und Ubuntu 18.04 bietet. Das bedeutet, dass Sie noch fünf Jahre nach dem EOL-Datum Sicherheitsupdates für Ihre kritischen Ubuntu-Workloads erhalten können. In der Zwischenzeit können Sie sich in aller Ruhe auf die Planung Ihrer Migration konzentrieren.

 

Quelle: USN-6531-1

Zusammenfassung
Mehrere Redis-Schwachstellen in Ubuntu behoben
Artikel Name
Mehrere Redis-Schwachstellen in Ubuntu behoben
Beschreibung
Erfahren Sie mehr über aktuelle Redis-Schwachstellen und deren Auswirkungen auf Ubuntu-Versionen. Entschärfen Sie die potenziellen Risiken mit Ubuntu-Sicherheitsupdates.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter