Plusieurs vulnérabilités de Redis corrigées dans Ubuntu
Redis est un magasin de structure de données en mémoire open-source, souvent appelé magasin clé-valeur. Il est utilisé comme base de données, cache et courtier de messages. Redis prend en charge diverses structures de données telles que les chaînes de caractères, les hachages, les listes, les ensembles, les ensembles triés, les bitmaps, les hyperlogs et les index géospatiaux, ce qui le rend extrêmement polyvalent. Cependant, comme tout logiciel, Redis n'est pas à l'abri des vulnérabilités. Récemment, plusieurs vulnérabilités de Redis ont été corrigées dans les systèmes Debian et Ubuntu, ce qui présente des risques potentiels pour ses utilisateurs.
Dans cet article, nous allons nous pencher sur ces vulnérabilités, comprendre leurs implications et explorer les solutions proposées pour les atténuer.
Vulnérabilités de sécurité de Redis
CVE-2022-24834
Seiya Nakata et Yudai Fujiwara ont identifié un problème dans lequel Redis traite mal certains scripts Lua. Cette faille peut potentiellement conduire à une corruption du tas et à l'exécution de code arbitraire, ce qui permet à des acteurs malveillants d'exploiter les systèmes Redis.
CVE-2022-35977
Découverte par SeungHyun Lee, cette vulnérabilité est liée au fait que Redis ne traite pas correctement les commandes spécialement conçues, ce qui entraîne un débordement d'entier. Redis pourrait alors allouer des quantités impossibles de mémoire, ce qui entraînerait un déni de service par le biais d'un plantage de l'application.
CVE-2022-36021
Tom Levy a découvert une faille dans Redis liée à des schémas de correspondance de chaînes de caractères élaborés. L'exploitation de cette vulnérabilité peut entraîner un blocage de Redis, et donc un déni de service.
CVE-2023-25155
Yupeng Yang a identifié un problème dans Redis où des commandes spécialement conçues pourraient déclencher un débordement d'entier, entraînant un déni de service par le biais d'un plantage de l'application.
CVE-2023-28856
Cette vulnérabilité met en évidence une mauvaise gestion par Redis d'une commande spécialement conçue. L'exploitation de cette faille peut conduire à la création d'un champ de hachage invalide, provoquant potentiellement un plantage de Redis lors d'un accès ultérieur.
CVE-2023-45145
Alexander Aleksandrovič Klimov a découvert que Redis écoutait incorrectement une socket Unix avant de définir les permissions appropriées. Cette faille pourrait permettre à des attaquants locaux de se connecter, en contournant les permissions prévues.
Mesures d'atténuation
Pour remédier à ces vulnérabilités et garantir la sécurité du système, l'équipe de sécurité d'Ubuntu et de Debian a publié des mises à jour de sécurité pour les différentes versions prises en charge. Ces mises à jour contiennent des correctifs qui atténuent les vulnérabilités identifiées ; il est donc essentiel de mettre à jour le paquet Redis pour se protéger contre une exploitation potentielle.
Sécuriser les systèmes Ubuntu en fin de vie
Ces vulnérabilités affectent également les systèmes d'exploitation Ubuntu en fin de vie, notamment Ubuntu 14.04, 16.04 et 18.04. Ces systèmes ne recevront jamais les mises à jour de sécurité officielles, à moins que vous ne souscriviez à un abonnement Ubuntu Pro. Cependant, ce n'est pas le seul choix que vous avez pour étendre le support de sécurité.
Vous pouvez opter pour une option beaucoup plus abordable, l'Extended Lifecycle Support de TuxCare, qui offre cinq années supplémentaires de correctifs de sécurité pour Ubuntu 16.04 et Ubuntu 18.04. Cela signifie que vous pouvez continuer à recevoir des mises à jour de sécurité pour vos charges de travail Ubuntu critiques pendant cinq ans après la date de fin de vie. En attendant, vous pouvez vous concentrer sur la stratégie de votre migration en toute sérénité.
Source : USN-6531-1