Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Múltiples vulnerabilidades de Redis resueltas en Ubuntu
Rohan Timalsina
12 de marzo de 2024 - Equipo de expertos TuxCare
Redis es un almacén de estructuras de datos en memoria de código abierto, a menudo denominado almacén clave-valor. Se utiliza como base de datos, caché y agente de mensajes. Redis soporta varias estructuras de datos, como cadenas, hashes, listas, conjuntos, conjuntos ordenados, mapas de bits, hyperlogs e índices geoespaciales, lo que lo hace extremadamente versátil. Sin embargo, como cualquier software, Redis no es inmune a las vulnerabilidades. Recientemente, se han corregido varias vulnerabilidades de Redis en sistemas Debian y Ubuntu, lo que supone riesgos potenciales para sus usuarios.
En este artículo, profundizaremos en estas vulnerabilidades, comprenderemos sus implicaciones y exploraremos las soluciones previstas para mitigarlas.
Vulnerabilidades de seguridad de Redis
CVE-2022-24834
Seiya Nakata y Yudai Fujiwara identificaron un problema por el que Redis no gestionaba correctamente determinados scripts Lua. Este fallo podría dar lugar a la corrupción de la pila y la ejecución de código arbitrario, abriendo vías para que los actores maliciosos exploten los sistemas Redis.
CVE-2022-35977
Descubierta por SeungHyun Lee, esta vulnerabilidad gira en torno a Redis mal manejo de comandos especialmente diseñados, provocando un desbordamiento de enteros. Esto podría dar lugar a que Redis asigne cantidades imposibles de memoria, provocando una denegación de servicio a través de la caída de la aplicación.
CVE-2022-36021
Tom Levy descubrió un fallo en Redis relacionado con los patrones de coincidencia de cadenas. La explotación de esta vulnerabilidad podría hacer que Redis se bloqueara, provocando así una denegación de servicio.
CVE-2023-25155
Yupeng Yang identificó un problema en Redis por el que comandos especialmente diseñados podían desencadenar un desbordamiento de enteros, lo que provocaba una denegación de servicio por caída de la aplicación.
CVE-2023-28856
Esta vulnerabilidad pone de manifiesto que Redis maneja incorrectamente un comando especialmente diseñado. La explotación de este fallo podría conducir a la creación de un campo hash no válido, causando potencialmente que Redis se bloquee en futuros accesos.
CVE-2023-45145
Alexander Aleksandrovič Klimov descubrió que Redis escuchaba incorrectamente un socket Unix antes de establecer los permisos adecuados. Este fallo podía permitir a atacantes locales conectarse, saltándose los permisos previstos.
Medidas paliativas
Para solucionar estas vulnerabilidades y garantizar la seguridad del sistema, el equipo de seguridad de Ubuntu y Debian ha publicado actualizaciones de seguridad para sus distintas versiones compatibles. Estas actualizaciones contienen parches que mitigan las vulnerabilidades identificadas; por lo tanto, es esencial actualizar el paquete Redis para protegerse frente a posibles explotaciones.
Protección de sistemas Ubuntu al final de su vida útil
Estas vulnerabilidades también afectan a los sistemas operativos Ubuntu del final de su vida útil, incluidos Ubuntu 14.04, 16.04 y 18.04. Estos sistemas nunca recibirán las actualizaciones de seguridad oficiales a menos que te suscribas a Ubuntu Pro. Sin embargo, no es la única opción que tienes para ampliar el soporte de seguridad.
Puede optar por una opción mucho más asequible, el Soporte de Ciclo de Vida Extendido de TuxCare, que ofrece cinco años adicionales de parches de seguridad de grado de proveedor para Ubuntu 16.04 y Ubuntu 18.04. Eso significa que puede seguir recibiendo actualizaciones de seguridad para sus cargas de trabajo críticas de Ubuntu durante cinco años después de la fecha de EOL. Mientras tanto, puede centrarse en planificar su migración con tranquilidad.
Fuente: USN-6531-1
