forum.opennet.ru

Составление сообщения

Исходное сообщение

"Критическая уязвимость в СУБД Redis"
Отправлено opennews, 30-Сен-16 22:24

Компания Cisco раскрыла (http://blog.talosintel.com/2016/09/redis-vulnerability.html) сведения об уязвимости (http://www.talosintelligence.com/reports/TALOS-2016-0206/) (CVE-2016-8339 (https://security-tracker.debian.org/tracker/CVE-2016-8339)) в СУБД Redis, которая может привести к выполнению в системе кода злоумышленника. Уязвимость вызвана ошибкой обработки опции client-output-buffer-limit при выполнении команды "CONFIG SET".
Отправив через команду "CONFIG SET" специально оформленный запрос на модификацию переменной client-output-buffer-limit можно добиться записи за пределы выделенного буфера, что может быть использовано для организации выполнения кода злоумышленника, имеющего доступ к СУБД (недавнее сканирование сети выявило (https://www.opennet.me/opennews/art.shtml?num=44766) более 30 тысяч незащищённых конфигураций Redis, принимающих соединения на внешнем IP). Проблема устранена (https://raw.githubusercontent.com/antirez/redis/3.2/00-RELEA...) в выпуске Redis 3.2.4. Исправление также доступно в виде патча (https://github.com/antirez/redis/commit/6d9f8e2462fc2c426d48...).
URL: http://blog.talosintel.com/2016/09/redis-vulnerability.html
Новость: http://www.opennet.me/opennews/art.shtml?num=45255

Исходное сообщение
"Критическая уязвимость в СУБД Redis" Отправлено opennews, 30-Сен-16 22:24
Компания Cisco раскрыла (http://blog.talosintel.com/2016/09/redis-vulnerability.html) сведения об уязвимости (http://www.talosintelligence.com/reports/TALOS-2016-0206/) (CVE-2016-8339 (https://security-tracker.debian.org/tracker/CVE-2016-8339)) в СУБД Redis, которая может привести к выполнению в системе кода злоумышленника. Уязвимость вызвана ошибкой обработки опции client-output-buffer-limit при выполнении команды "CONFIG SET". Отправив через команду "CONFIG SET" специально оформленный запрос на модификацию переменной client-output-buffer-limit можно добиться записи за пределы выделенного буфера, что может быть использовано для организации выполнения кода злоумышленника, имеющего доступ к СУБД (недавнее сканирование сети выявило (https://www.opennet.me/opennews/art.shtml?num=44766) более 30 тысяч незащищённых конфигураций Redis, принимающих соединения на внешнем IP). Проблема устранена (https://raw.githubusercontent.com/antirez/redis/3.2/00-RELEA...) в выпуске Redis 3.2.4. Исправление также доступно в виде патча (https://github.com/antirez/redis/commit/6d9f8e2462fc2c426d48...). URL: http://blog.talosintel.com/2016/09/redis-vulnerability.html Новость: http://www.opennet.me/opennews/art.shtml?num=45255

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, [email protected] (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Компания Cisco раскрыла (http://blog.talosintel.com/2016/09/redis-vulnerability.html) 
> сведения об уязвимости (http://www.talosintelligence.com/reports/TALOS-2016-0206/) 
> (CVE-2016-8339 (https://security-tracker.debian.org/tracker/CVE-2016-8339)) в СУБД 
> Redis, которая может привести к выполнению в системе кода злоумышленника. Уязвимость 
> вызвана ошибкой обработки опции client-output-buffer-limit  при выполнении команды "CONFIG 
> SET".

> Отправив через команду "CONFIG SET" специально оформленный запрос на модификацию переменной 
> client-output-buffer-limit можно добиться записи за пределы выделенного буфера, что может 
> быть использовано для организации выполнения кода злоумышленника, имеющего доступ к СУБД 
> (недавнее сканирование сети выявило (https://www.opennet.me/opennews/art.shtml?num=44766) 
> более 30 тысяч незащищённых конфигураций Redis, принимающих соединения на внешнем IP). 
> Проблема устранена (https://raw.githubusercontent.com/antirez/redis/3.2/00-RELEASENOTES) 
> в выпуске Redis 3.2.4. Исправление также доступно в виде патча (https://github.com/antirez/redis/commit/6d9f8e2462fc2c426d48c941edeb78e5df7d2977).

> URL: http://blog.talosintel.com/2016/09/redis-vulnerability.html 
> Новость: http://www.opennet.me/opennews/art.shtml?num=45255

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру