2023-0115: Redis: Zwei Schwachstellen ermöglichen Denial-of-Service-Angriffe

Historie:

Version 1 (2023-01-18 12:12): Neues Advisory
Version 2 (2023-01-19 12:33): Für Fedora 36 steht ein neues Sicherheitsupdate in Form des Pakets 'redis-6.2.10-1.fc36' im Status 'testing' bereit, welches das frühere Update FEDORA-2023-2de29347a8 (Fedora 36, redis-6.2.9-1.fc36) ersetzt, das in den Status 'obsolete' überführt wurde (Referenz hier entfernt). Hierdurch wird eine Änderung an KEYS zurückgenommen, die mit der Behebung eines Fehlers (Bug) in der Vorgängerversion einherging.
Version 3 (2023-02-08 08:10): Für SUSE Linux Enterprise High Performance Computing 15 SP4, SUSE Linux Enterprise Module for Server Applications 15 SP4, SUSE Linux Enterprise Server 15 SP4, SUSE Linux Enterprise Server for SAP Applications 15 SP4, SUSE Manager Proxy 4.3, SUSE Manager Retail Branch Server 4.3, SUSE Manager Server 4.3 und openSUSE Leap 15.4 stehen Sicherheitsupdates für 'redis' bereit, um die beiden Schwachstellen und einen weiteren nicht sicherheitsrelevanten Fehler zu beheben.

Betroffene Software

Server

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.

Für Fedora 36 und 37 stehen als Sicherheitsupdates die Pakete 'redis-6.2.9-1.fc36' und 'redis-7.0.8-1.fc37' im Status 'testing' bereit, um Redis auf Version 6.2.9 bzw. 7.0.8 zu bringen und die beiden Schwachstellen zu beheben.

Schwachstellen:

CVE-2022-35977

Schwachstelle in Redis ermöglicht Denial-of-Service-Angriff

CVE-2023-22458