ClickCease Plusieurs vulnérabilités de Redis corrigées dans Ubuntu

Rejoignez notre populaire bulletin d'information

Rejoignez plus de 4 500 professionnels de Linux et de l'Open Source!

2 fois par mois. Pas de spam.

Plusieurs vulnérabilités de Redis corrigées dans Ubuntu

par Rohan Timalsina

Le 12 mars 2024 - L'équipe d'experts de TuxCare

Redis est un magasin de structure de données en mémoire open-source, souvent appelé magasin clé-valeur. Il est utilisé comme base de données, cache et courtier de messages. Redis prend en charge diverses structures de données telles que les chaînes de caractères, les hachages, les listes, les ensembles, les ensembles triés, les bitmaps, les hyperlogs et les index géospatiaux, ce qui le rend extrêmement polyvalent. Cependant, comme tout logiciel, Redis n'est pas à l'abri des vulnérabilités. Récemment, plusieurs vulnérabilités de Redis ont été corrigées dans les systèmes Debian et Ubuntu, ce qui présente des risques potentiels pour ses utilisateurs.

Dans cet article, nous allons nous pencher sur ces vulnérabilités, comprendre leurs implications et explorer les solutions proposées pour les atténuer.

 

Vulnérabilités de sécurité de Redis

 

CVE-2022-24834

Seiya Nakata et Yudai Fujiwara ont identifié un problème dans lequel Redis traite mal certains scripts Lua. Cette faille peut potentiellement conduire à une corruption du tas et à l'exécution de code arbitraire, ce qui permet à des acteurs malveillants d'exploiter les systèmes Redis.

 

CVE-2022-35977

Découverte par SeungHyun Lee, cette vulnérabilité est liée au fait que Redis ne traite pas correctement les commandes spécialement conçues, ce qui entraîne un débordement d'entier. Redis pourrait alors allouer des quantités impossibles de mémoire, ce qui entraînerait un déni de service par le biais d'un plantage de l'application.

 

CVE-2022-36021

Tom Levy a découvert une faille dans Redis liée à des schémas de correspondance de chaînes de caractères élaborés. L'exploitation de cette vulnérabilité peut entraîner un blocage de Redis, et donc un déni de service.

 

CVE-2023-25155

Yupeng Yang a identifié un problème dans Redis où des commandes spécialement conçues pourraient déclencher un débordement d'entier, entraînant un déni de service par le biais d'un plantage de l'application.

 

CVE-2023-28856

Cette vulnérabilité met en évidence une mauvaise gestion par Redis d'une commande spécialement conçue. L'exploitation de cette faille peut conduire à la création d'un champ de hachage invalide, provoquant potentiellement un plantage de Redis lors d'un accès ultérieur.

 

CVE-2023-45145

Alexander Aleksandrovič Klimov a découvert que Redis écoutait incorrectement une socket Unix avant de définir les permissions appropriées. Cette faille pourrait permettre à des attaquants locaux de se connecter, en contournant les permissions prévues.

 

Mesures d'atténuation

 

Pour remédier à ces vulnérabilités et garantir la sécurité du système, l'équipe de sécurité d'Ubuntu et de Debian a publié des mises à jour de sécurité pour les différentes versions prises en charge. Ces mises à jour contiennent des correctifs qui atténuent les vulnérabilités identifiées ; il est donc essentiel de mettre à jour le paquet Redis pour se protéger contre une exploitation potentielle.

 

Sécuriser les systèmes Ubuntu en fin de vie

 

Ces vulnérabilités affectent également les systèmes d'exploitation Ubuntu en fin de vie, notamment Ubuntu 14.04, 16.04 et 18.04. Ces systèmes ne recevront jamais les mises à jour de sécurité officielles, à moins que vous ne souscriviez à un abonnement Ubuntu Pro. Cependant, ce n'est pas le seul choix que vous avez pour étendre le support de sécurité.

Vous pouvez opter pour une option beaucoup plus abordable, l'Extended Lifecycle Support de TuxCare, qui offre cinq années supplémentaires de correctifs de sécurité pour Ubuntu 16.04 et Ubuntu 18.04. Cela signifie que vous pouvez continuer à recevoir des mises à jour de sécurité pour vos charges de travail Ubuntu critiques pendant cinq ans après la date de fin de vie. En attendant, vous pouvez vous concentrer sur la stratégie de votre migration en toute sérénité.

 

Source : USN-6531-1

Résumé
Plusieurs vulnérabilités de Redis corrigées dans Ubuntu
Nom de l'article
Plusieurs vulnérabilités de Redis corrigées dans Ubuntu
Description
Découvrez les récentes vulnérabilités de Redis et leur impact sur les versions d'Ubuntu. Atténuer les risques potentiels grâce aux mises à jour de sécurité d'Ubuntu.
Auteur
Nom de l'éditeur
de TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Devenez rédacteur invité de TuxCare

Courrier

Aidez-nous à comprendre
le paysage Linux !

Répondez à notre enquête sur l'état de l'Open Source et vous pourrez gagner l'un des nombreux prix, dont le premier est d'une valeur de 500 $ !

Votre expertise est nécessaire pour façonner l'avenir d'Enterprise Linux !