2021-2069: Redis: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2021-10-05 19:15)
- Neues Advisory
- Version 2 (2021-10-20 09:39)
- Für Oracle Linux 8 (aarch64, x86_64) und Red Hat Enterprise Linux 8 (x86_64, aarch64), 8.4 Extended Update Support 8.4 (x86_64, aarch64) sowie Red Hat Enterprise Linux Server - AUS / TUS 8.4 (x86_64) stehen Sicherheitsupdates für das Modul ' redis:5' bereit, um die Schwachstellen CVE-2021-32626, CVE-2021-32627, CVE-2021-32628, CVE-2021-32687, CVE-2021-32675 und CVE-2021-41099 zu beheben.
- Version 3 (2021-10-21 17:32)
- Für das Modul 'redis:5' stehen ferner Sicherheitsupdates sowohl für Red Hat Enterprise Linux 8.1 EUS und 8.2 EUS (x86_64, aarch64) als auch für Red Hat Linux Enterprise Server 8.2 AUS / TUS (x86_64) zur Verfügung. Für Red Hat Software Collections 1 für RHEL 7 (Server, Workstation) und RHEL 7.7 (Server) stehen Sicherheitsupdates für 'rh-redis5-redis' bereit, um die Schwachstellen zu beheben. Außerdem stehen für das Modul 'redis:6' Sicherheitsupdates zur Behebung der Schwachstellen in Red Hat Enterprise Linux 8, inklusive Red Hat Enterprise Linux - Extended Update Support 8.4 (x86_64, aarch64) und Red Hat Enterprise Linux Server - AUS / TUS 8.4 (x86_64), sowie für Oracle Linux 8 (x86_64, aarch64) zur Verfügung. In allen zugehörigen Sicherheitshinweisen werden CVE-2021-32672 und CVE-2021-32762 nicht aufgeführt.
- Version 4 (2021-10-26 09:56)
- Red Hat stellt Sicherheitsupdates für 'redis' für die Red Hat OpenStack Platform 10 (Newton) und 13 (Queens) bereit, um die Schwachstellen zu beheben.
- Version 5 (2021-11-05 15:32)
- Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'redis' in Version 3:3.2.6-3+deb9u8 bereit, um die Schwachstellen CVE-2021-32626, CVE-2021-32672, CVE-2021-32675, CVE-2021-32687, CVE-2021-32762 und CVE-2021-41099 zu beheben.
- Version 6 (2021-11-08 09:22)
- Für Debian 10 Buster (oldstable) steht Version 5:5.0.14-1+deb10u1 und für Debian 11 Bullseye (stable) steht Version 5:6.0.16-1+deb11u1 von 'redis' als Sicherheitsupdate bereit. Die Software wird damit auf Version 5.0.14 aktualisiert, womit zusätzlich die Schwachstelle CVE-2021-32761 behoben wird, welche ein Angreifer mit niedrigen Privilegien aus der Ferne ausnutzen kann, um beliebigen Programmcode auszuführen und Informationen auszuspähen.
- Version 7 (2021-11-24 09:41)
- Für SUSE Linux Enterprise Module for Server Applications 15 SP2 und 15 SP3 sowie openSUSE Leap 15.3 stehen Sicherheitsupdates für 'redis' zur Behebung der Schwachstellen bereit.
Betroffene Software
Entwicklung
Middleware
Server
Betroffene Plattformen
Linux
Oracle
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Für die Ausnutzung der meisten Schwachstellen sind übliche Privilegien erforderlich.
Der Hersteller bestätigt die Schwachstellen und veröffentlicht zu ihrer Behebung die Versionen 5.0.14, 6.0.16 und 6.2.6.
Für Fedora 33 und Fedora 34 stehen Sicherheitsupdates in Form der Pakete 'redis-6.0.16-1.fc33' und 'redis-6.2.6-1.fc34' im Status 'testing' zur Behebung der Schwachstellen bereit.
Schwachstellen:
CVE-2021-32626
Schwachstelle in Redis ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-32627
Schwachstelle in Redis ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-32628
Schwachstelle in Redis ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-32672
Schwachstelle in Redis ermöglicht Ausspähen von InformationenCVE-2021-32675
Schwachstelle in Redis ermöglicht Denial-of-Service-AngriffCVE-2021-32687
Schwachstelle in Redis ermöglicht u. a. Ausführen beliebigen ProgrammcodesCVE-2021-32761
Schwachstelle in Redis ermöglicht u. a. Ausführen beliebigen ProgrammcodesCVE-2021-32762
Schwachstelle in Redis ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-41099
Schwachstelle in Redis ermöglicht Ausführen beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.