ClickCease Múltiples vulnerabilidades de Redis resueltas en Ubuntu

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Múltiples vulnerabilidades de Redis resueltas en Ubuntu

por Rohan Timalsina

12 de marzo de 2024 - Equipo de expertos TuxCare

Redis es un almacén de estructuras de datos en memoria de código abierto, a menudo denominado almacén clave-valor. Se utiliza como base de datos, caché y agente de mensajes. Redis soporta varias estructuras de datos, como cadenas, hashes, listas, conjuntos, conjuntos ordenados, mapas de bits, hyperlogs e índices geoespaciales, lo que lo hace extremadamente versátil. Sin embargo, como cualquier software, Redis no es inmune a las vulnerabilidades. Recientemente, se han corregido varias vulnerabilidades de Redis en sistemas Debian y Ubuntu, lo que supone riesgos potenciales para sus usuarios.

En este artículo, profundizaremos en estas vulnerabilidades, comprenderemos sus implicaciones y exploraremos las soluciones previstas para mitigarlas.

 

Vulnerabilidades de seguridad de Redis

 

CVE-2022-24834

Seiya Nakata y Yudai Fujiwara identificaron un problema por el que Redis no gestionaba correctamente determinados scripts Lua. Este fallo podría dar lugar a la corrupción de la pila y la ejecución de código arbitrario, abriendo vías para que los actores maliciosos exploten los sistemas Redis.

 

CVE-2022-35977

Descubierta por SeungHyun Lee, esta vulnerabilidad gira en torno a Redis mal manejo de comandos especialmente diseñados, provocando un desbordamiento de enteros. Esto podría dar lugar a que Redis asigne cantidades imposibles de memoria, provocando una denegación de servicio a través de la caída de la aplicación.

 

CVE-2022-36021

Tom Levy descubrió un fallo en Redis relacionado con los patrones de coincidencia de cadenas. La explotación de esta vulnerabilidad podría hacer que Redis se bloqueara, provocando así una denegación de servicio.

 

CVE-2023-25155

Yupeng Yang identificó un problema en Redis por el que comandos especialmente diseñados podían desencadenar un desbordamiento de enteros, lo que provocaba una denegación de servicio por caída de la aplicación.

 

CVE-2023-28856

Esta vulnerabilidad pone de manifiesto que Redis maneja incorrectamente un comando especialmente diseñado. La explotación de este fallo podría conducir a la creación de un campo hash no válido, causando potencialmente que Redis se bloquee en futuros accesos.

 

CVE-2023-45145

Alexander Aleksandrovič Klimov descubrió que Redis escuchaba incorrectamente un socket Unix antes de establecer los permisos adecuados. Este fallo podía permitir a atacantes locales conectarse, saltándose los permisos previstos.

 

Medidas paliativas

 

Para solucionar estas vulnerabilidades y garantizar la seguridad del sistema, el equipo de seguridad de Ubuntu y Debian ha publicado actualizaciones de seguridad para sus distintas versiones compatibles. Estas actualizaciones contienen parches que mitigan las vulnerabilidades identificadas; por lo tanto, es esencial actualizar el paquete Redis para protegerse frente a posibles explotaciones.

 

Protección de sistemas Ubuntu al final de su vida útil

 

Estas vulnerabilidades también afectan a los sistemas operativos Ubuntu del final de su vida útil, incluidos Ubuntu 14.04, 16.04 y 18.04. Estos sistemas nunca recibirán las actualizaciones de seguridad oficiales a menos que te suscribas a Ubuntu Pro. Sin embargo, no es la única opción que tienes para ampliar el soporte de seguridad.

Puede optar por una opción mucho más asequible, el Soporte de Ciclo de Vida Extendido de TuxCare, que ofrece cinco años adicionales de parches de seguridad de grado de proveedor para Ubuntu 16.04 y Ubuntu 18.04. Eso significa que puede seguir recibiendo actualizaciones de seguridad para sus cargas de trabajo críticas de Ubuntu durante cinco años después de la fecha de EOL. Mientras tanto, puede centrarse en planificar su migración con tranquilidad.

 

Fuente: USN-6531-1

Resumen
Múltiples vulnerabilidades de Redis resueltas en Ubuntu
Nombre del artículo
Múltiples vulnerabilidades de Redis resueltas en Ubuntu
Descripción
Conozca las recientes vulnerabilidades de Redis y su impacto en las versiones de Ubuntu. Mitigue los riesgos potenciales con las actualizaciones de seguridad de Ubuntu.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Conviértete en escritor invitado de TuxCare

Correo

¡Ayúdenos a comprender
el panorama de Linux!

Complete nuestra encuesta sobre el estado del código abierto y podrá ganar uno de varios premios, ¡el máximo valorado en 500 dólares!

Su experiencia es necesaria para dar forma al futuro de Enterprise Linux.