Redis é uma tecnologia de armazenamento de dados de chave-valor, de código aberto, na memória, mais comumente usado como banco de dados primário, cache, agente de mensagens, fila e que persiste no disco. O Redis oferece tempos de resposta abaixo de milissegundos, permitindo aplicativos rápidos e poderosos em tempo real em setores como jogos, fintech, ad-tech, mídia social, saúde e IoT.
O Redis é o banco de dados mais amado pelos desenvolvedores por cinco anos consecutivos. Os desenvolvedores adoram o Redis por causa de sua facilidade de uso, desempenho e escalabilidade. Existe um cliente Redis disponível para uso em todas as linguagens de programação modernas populares. Isso, juntamente com os benefícios de desempenho, torna o Redis a escolha mais popular para armazenamento em cache, gerenciamento de sessão, jogos, detecção de fraudes, tabelas de classificação, análise em tempo real, indexação geoespacial, compartilhamento de viagens, mídia social e aplicativos de streaming.
A CVE é sobre um bug de estouro de número inteiro (Integer overflow) que afeta todas as versões do Redis e pode ser explorado para corromper o heap e potencialmente ser usado para vazar conteúdo arbitrário do heap ou acionar a execução remota de código. A vulnerabilidade envolve a alteração do parâmetro de configuração padrão set-max-intset-entries para um valor muito grande e a construção de comandos especialmente criados para manipular conjuntos. O problema foi corrigido nas versões 6.2.6, 6.0.16 e 5.0.14 do Redis. Uma solução alternativa adicional para atenuar o problema sem corrigir o executável redis-server é impedir que os usuários modifiquem o parâmetro de configuração set-max-intset-entries. Isso pode ser feito usando ACL para impedir que usuários sem privilégios usem o comando CONFIG SET.
Em algumas plataformas que permitem a pesquisa por dispositivos vulneráveis, foram detectados mais de mil dispositivos com essa vulnerabilidade.
Fonte:
– Criminal IP
– mitre.org