DFN-CERT

Advisory-Archiv

2018-1153: Redis: Mehrere Schwachstellen ermöglichen u.a. verschiedene Denial-of-Service-Angriffe

Historie:

Version 1 (2018-06-15 14:27)
Neues Advisory
Version 2 (2018-06-19 12:00)
Für die fünf zunächst bekannt gewordenen Schwachstellen in Redis wurden mittlerweile drei CVE-Bezeichner vergeben. Für Debian Stretch 9.4 (stable) steht ein Sicherheitsupdate zur Behebung der Schwachstellen bereit.
Version 3 (2018-06-25 12:50)
Für openSUSE Leap 15.0 und 42.3 sowie für SUSE Package Hub for SUSE Linux Enterprise 12 stehen Sicherheitsupdates für 'redis' zur Behebung der Schwachstellen CVE-2018-11218 und CVE-2018-11219 bereit. Die Software wird damit auf Version 4.0.10 aktualisiert.
Version 4 (2018-06-27 12:05)
Für Debian Linux Jessie (oldstable) 8.11 steht nun ebenfalls ein Sicherheitsupdate für das Paket 'redis' zur Behebung der Schwachstellen zur Verfügung.
Version 5 (2018-07-20 17:59)
In dieses Advisory wurde das Sicherheitsupdate des Herstellers für den Versionszweig 3.2 aufgenommen. In dem neuen Release 3.2.12 werden die bisher aufgeführten Schwachstellen CVE-2018-11218, CVE-2018-11219, CVE-2018-12326 und zusätzlich die neu aufgenommene Schwachstelle CVE-2017-15047 behoben. Diese Schwachstelle ermöglicht einem entfernten, nicht authentisierten Angreifer einen weiteren Denial-of-Service-Angriff und möglicherweise weitere Angriffe. Fedora stellt für Fedora EPEL 6 und 7 die Pakete 'redis-3.2.12-1.el6' und 'redis-3.2.12-1.el7' im Status 'pending' zur Behebung der Schwachstellen zur Verfügung.
Version 6 (2019-01-17 11:53)
Für Red Hat OpenStack Platform 10.0 (Newton) und 13.0 (Queens) stehen Sicherheitsupdates für Redis bereit, um die Schwachstellen CVE-2018-11218, CVE-2018-11219 und CVE-2018-12326 zu beheben.

Betroffene Software

Server

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen in Redis bzw. der Lua Scripting Engine und Lua Cmsgpack Library ermöglichen einem entfernten, einfach authentifizierten Angreifer die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe und möglicherweise weitere nicht spezifizierte Angriffe.

Fedora stellt für Fedora 27 und Fedora 28 die Pakete 'redis-4.0.10-1.fc27' und 'redis-4.0.10-1.fc28' im Status 'testing' zur Behebung der Schwachstellen zur Verfügung.

Schwachstellen:

CVE-2017-15047

Schwachstelle in Redis ermöglicht u. a. Denial-of-Service-Angriff

CVE-2018-11218

Schwachstelle in Redis ermöglicht u. a. Denial-of-Service-Angriff

CVE-2018-11219

Schwachstelle in Redis ermöglicht Denial-of-Service-Angriff

CVE-2018-12326

Schwachstelle in Redis ermöglicht u. a. Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.