2025-0019: Redis, Valkey: Zwei Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2025-01-07 13:11)

Neues Advisory

Version 2 (2025-01-09 08:46)

Für Fedora 40 und 41 sowie Fedora EPEL 8 und 9 stehen Sicherheitsupdates in Form von 'valkey-8.0.2-1'-Paketen im Status 'testing' bzw. 'stable' (Fedora 41) bereit, um die Schwachstellen zu beheben.

Version 3 (2025-01-20 10:27)

Für openSUSE Leap 15.5 und 15.6, Server Applications Module 15 SP6, die SUSE Linux Enterprise Produkte High Performance Computing 15 SP5 und 15 SP5 ESPOS / LTSS, Real Time 15 SP6, Server 15 SP5,15 SP6 und 15 SP5 LTSS sowie Server for SAP Applications 15 SP5 und 15 SP6 stehen Sicherheitsupdates für 'redis7' bzw. 'redis' bereit, um die Schwachstellen zu adressieren.

Version 4 (2025-01-27 11:59)

Für Red Hat Enterprise Linux for x86_64 / ARM 64 9 (x86_64, aarch64) stehen Sicherheitsupdates für das Modul 'redis:7' bereit, um die Schwachstellen zu beheben.

Version 5 (2025-01-28 13:14)

Für Oracle Linux 9 (x86_64, aarch64) stehen korrespondierende Sicherheitsupdates für das Modul 'redis:7' bereit, um die Schwachstellen zu beheben.

Version 6 (2025-01-31 08:54)

Für Debian 12 Bookworm (stable) steht ein Sicherheitsupdate für 'redis' in Version 5:7.0.15-1~deb12u3 bereit, um die beiden Schwachstellen zu beheben.

Version 7 (2025-03-20 15:57)

Canonical stellt für Ubuntu 24.10 und Ubuntu 24.04 LTS Sicherheitsupdates für 'valkey' bereit, um die beiden Schwachstellen zu beheben.

Betroffene Software

Server

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Ein Angreifer kann zwei Schwachstellen lokal ausnutzen, um beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich.

Für Fedora 40 steht ein Sicherheitsupdate in Form des Pakets 'redis-7.2.7-1.fc40' im Status 'testing' bereit, um die Schwachstellen zu beheben.

Schwachstellen:

CVE-2024-46981

Schwachstelle in Redis ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-51741

Schwachstelle in Redis ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.