Redis Patches for Multi Flaws, Including Potential RCE (CVE-2024-31449)
2024/10/06 SecurityOnline — データベース/キャッシュ/メッセージブローカーとして人気を博している、オープンソースのデータ構造ストア Redis に、3件の新たな脆弱性が発見された。これらの欠陥によるリスクは、リモートコード実行 (RCE) からサービス拒否 (DoS) にいたるまでの多岐にわたり、パッチを適用せずに放置するとシステムに深刻な被害が生じる可能性がある。特定された3件の脆弱性は CVE-2024-31449/CVE-2024-31227/CVE-2024-31228 となるが、すでに Redis は修正バージョンをリリースしており、ユーザーに対して直ちにアップデートするよう呼びかけている。
最も深刻な脆弱性は CVE-2024-31449 (CVSS:8.8) であり、影響を受けるシステム上でリモートの攻撃者に対して、任意のコード実行を許す可能性があるという。この脆弱性は、Redis の Lua スクリプト・エンジン内の境界エラーに起因する。攻撃者は、特別に細工された Lua スクリプトを送信することで、スタックバッファ・オーバーフローを引き起こし、サーバ・プロセスを乗っ取り、悪意のコマンドを実行する可能性を手にする。
前述の脆弱性に加えて、2件のサービス拒否の脆弱性も修正されている。CVE-2024-31227 (CVSS:4.5) は、不正な Access Control List (ACL) セレクターに関係するものであり、CVE-2024-31228 (CVSS:6.5) は、無制限のパターン・マッチングに起因する。どちらの脆弱性も、悪用に成功したリモート攻撃者により、Redis サーバのクラッシュや、依存するアプリケーションやサービスの中断という可能性が生じる。
すでに Redis は、バージョン 7.4.1/7.2.6/6.2.16 をリリースし、これらの脆弱性に対処している。ユーザーに対して強く推奨されるのは、これらの最新バージョンを、可能な限り早急にインストールすることだ。
Redis の人気と、一連の問題の深刻さを考えると、これらの脆弱性を悪用しようとする攻撃者が動きが、活発化することも予想される。ユーザー組織にとって優先すべきは、Redis インスタンスへのパッチ適用であり、それにより、侵害のリスクを軽減する必要がある。
Redis に脆弱性とのことですが、このブログ内を検索する限りでは、2024年に入って初めてのものとなります。最も深刻な脆弱性は CVE-2024-31449 (CVSS:8.8) であり、リモートの攻撃者による任意のコード実行の可能性があると指摘されています。ご利用のチームは、ご注意ください。よろしければ、Redis で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.