Redis Vulnerability Exposes Servers to Denial-of-Service Attacks
2024/04/24 SecurityOnline — 広く利用される OSS のインメモリ・データ・ストア Redis に、深刻な脆弱性が発見された。この脆弱性を悪用する未認証の攻撃者により、サーバ・メモリの枯渇と、サービス拒否 (DoS) 状態が引き起こされる可能性がある。脆弱性 CVE-2025-21605 (CVSS:7.5) は、Redis のバージョン 2.6 以降に影響を及ぼすものだ。
Redis のメンテナたちは、「未認証のクライアントであっても、サーバ・メモリが枯渇して強制終了されるまで、出力バッファを無制限に増加させ可能性を手にする」と述べている。
この問題は、Redis のデフォルト・コンフィグにおいて、通常のクライアントの出力バッファに制限 (client-output-buffer-limit) が設定されていないために発生する。これらの制限が存在しないと、出力バッファが無制限に増加し、時間の経過につれてメモリが枯渇する可能性が生じる。
脆弱性 CVE-2025-21605 が懸念されるのは、この攻撃が、認証を必要とせずに実行できるからだ。パスワード認証が有効化されていても、この脆弱性への攻撃は機能する。
メンテナーたちは、「Redis サーバでパスワード認証が有効化され、パスワードが承認されない場合でも、クライアントは出力バッファを “NOAUTH” レスポンスで拡張させ、システム・メモリが枯渇するまで拡張させることが可能になる」と付け加えている。
つまり、不正なクライアントであっても、不正なリクエストでサーバをフラッドさせ、NOAUTH レスポンス連続的に送信して出力バッファに蓄積させ、システムを圧倒する機会を得ることになる。
この脆弱性の影響が及ぶのは、Redis のバージョン 2.6 以降となる。この問題は、以下のバージョンで修正されている。
速やかなアップグレードが不可能な場合には、以下の代替策を講じることで、リスクを軽減できる。
Redis は、「redis-server 実行ファイルにパッチを適用せずに、この問題を軽減する回避策は、未認証ユーザーによる Redis 接続をブロックすることだ」と指摘している。
推奨される具体的な緩和策は、以下のとおりである:
- ファイアウォール/iptables/クラウド・セキュリティ・グループなどの、ネットワーク・アクセス制御を実装する。
- TLS を有効化し、クライアント側の証明書認証を要求する。
Redis に新たな脆弱性 CVE-2025-21605 が発生していますが、パスワード認証が有効化されていても、認証なしで攻撃が可能だという、きわめて厄介なものです。ご利用のチームは、アップデートおよび緩和策の実施を、ご検討ください。よろしければ、Redis で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.