DFN-CERT

Advisory-Archiv

2019-1403: Redis: Zwei Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-07-11 12:29)
Neues Advisory
Version 2 (2019-07-12 17:40)
Debian stellt für die stabile Distribution Buster (10.0) und die alte stabile Distribution Stretch (9.9) Sicherheitsupdates für 'redis' zur Verfügung. Neben der Schwachstelle CVE-2019-10192 (Heap Buffer Overflow) beheben diese Sicherheitsupdates auch die ähnlich gelagerte Schwachstelle CVE-2019-10193 (Stack Buffer Overflow), die ebenfalls das Ausführen beliebigen Programmcodes und die Durchführung eines Denial-of-Service-Angriffs ermöglicht. Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzen will, muss auch in diesem Fall über hohe Privilegien verfügen.
Version 3 (2019-07-16 19:36)
Canonical stellt für Ubuntu 16.04 LTS, Ubuntu 18.04 LTS und Ubuntu 18.10 Sicherheitsupdates für 'redis' bereit, um die Schwachstellen zu beheben.
Version 4 (2019-07-23 10:23)
Red Hat stellt für die Red Hat Software Collections 1 für Red Hat Enterprise Linux 7, 7.4, 7.5 und 7.6 Sicherheitsupdates für das Paket 'rh-redis5-redis' zur Verfügung, um die beiden referenzierten Schwachstellen zu beheben.
Version 5 (2019-08-07 19:47)
Red Hat veröffentlicht Redis-Sicherheitsupdates für Red Hat Enterprise Linux 8 zur Behebung der beiden Schwachstellen.
Version 6 (2019-08-16 13:40)
Für Red Hat OpenStack Platform 9.0 (Mitaka) und Red Hat OpenStack Platform 9.0 Operational Tools für Red Hat Enterprise Linux (RHEL) 7 stehen Sicherheitsupdates für 'redis' zur Behebung der Schwachstelle CVE-2019-10192 bereit.
Version 7 (2019-08-20 13:12)
Für Oracle Linux 8 (aarch64, x86_64) stehen Sicherheitsupdates für 'redis:5' bereit, um diese Schwachstellen zu beheben.
Version 8 (2019-09-04 17:12)
Red Hat stellt für die Red Hat OpenStack Platform 14.0 (Rocky) ein Sicherheitsupdate für 'redis' bereit, um die Schwachstelle CVE-2019-10192 zu beheben.
Version 9 (2019-09-04 19:58)
Red Hat stellt für Red Hat OpenStack Platform 10.0 (Newton) und Red Hat OpenStack Platform 13.0 (Queens) Sicherheitsupdates für 'redis' bereit, um die Schwachstelle CVE-2019-10192 zu beheben.

Betroffene Software

Entwicklung
Middleware
Netzwerk
Server

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Ein entfernter, einfach authentisierter und hoch privilegierter Angreifer kann durch das Bewirken eines Pufferüberlaufs, auf dem Heap bzw. auf dem Stack, beliebigen Programmcode zur Ausführung bringen oder einen Denial-of-Service (DoS)-Angriff durchführen.

Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate für das Paket 'redis' auf die Version 2:2.8.17-1+deb8u7 bereit, um die Schwachstelle CVE-2019-10192 zu beheben.

Schwachstellen:

CVE-2019-10192

Schwachstelle in Redis ermöglicht u. a. Ausführung beliebigen Programmcodes

CVE-2019-10193

Schwachstelle in Redis ermöglicht u. a. Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.