CVE-2024-51741 and CVE-2024-46981: Redis Flaws Expose Millions to DoS and RCE Risks
2025/01/06 SecurityOnline — 人気のインメモリ・データベース Redis で発見された、2件の脆弱性により数百万のユーザーが危険にさらされている。脆弱性 CVE-2024-51741 は、サービス拒否 (DoS) 攻撃をトリガーし、脆弱性 CVE-2024-46981 は、リモート コード実行 (RCE) を可能にするものである。
CVE-2024-51741 (CVSS:4.4):Redis バージョン 7.0.0 以降に存在する脆弱性である。十分な権限を持つ攻撃者であれば、不正な ACL (Access-control list) セレクターを作成して、この脆弱性を悪用し、サーバをクラッシュさせる可能性を手にする。
CVE-2024-46981 (CVSS:7.0):サーバ上で任意のコード実行を、攻撃者に許す可能性があり、大きな脅威をもたらす脆弱性である。この脆弱性は、Lua スクリプトが有効化されている、すべての Redis バージョンに影響を及ぼす。特別に細工された Lua スクリプトを用いる攻撃者は、ガベージ・コレクターを操作し、リモートコード実行の可能性を手にする。
Redis ユーザーに対して強く推奨されるのは、最新のパッチが適用されたバージョンをインストールし、速やかにインスタンスを更新することだ。DoS の脆弱性 CVE-2024-51741 は、バージョン 7.2.7/7.4.2 で修正されている。RCE の脆弱性 CVE-2024-46981 は、バージョン 6.2.x/7.2.x/7.4.x で修正されている。
ない、CVE-2024-46981 に対する一時的な回避策として、ACL を介した EVAL/EVALSHA コマンドの制限により、Lua スクリプトの無効化が効果的である。ただし、一番の推奨策は、redis-server の実行型ファイルに対して、最新の更新プログラムを適用することである。
Redis ユーザーは、システムへのパッチ適用を優先し、これらのセキュリティ欠陥の悪用を阻止する必要がある。
Redis で発見された、DoS と RCE の脆弱性が FIX しました。すでにパッチがリリースされていますので、ご利用のチームは、ご確認ください。関連する直近のポストは、2024/10/06 の「Redis の脆弱性 CVE-2024-31449 などが FIX:RCE や DoS の恐れ」です。よろしければ、Redis で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.