Уязвимость в СУБЛ Redis, потенциально позволяющая выполнить свой код
Дата публикации:Mon, 26 Sep 2022 07:09:47 +0300
Опубликован корректирующий выпуск CУБД Redis 7.0.5, в котором устранена уязвимость (CVE-2022-35951), потенциально позволяющая злоумышленнику выполнить свой код с правами процесса Redis. Проблема затрагивает только ветку 7.x и требует для совершения атаки доступа к выполнению запросов.
Уязвимость вызвана целочисленным переполнением, возникающим при указании некорректного значения параметра "COUNT" в команде "XAUTOCLAIM". При использовании в команде потоковых ключей в определённом состоянии целочисленное переполнение может быть использовано для записи в область за пределами выделенной в куче памяти.
Новость позаимствована с opennet.ru
Ссылка на оригинал: https://www.opennet.ru/opennews/art.shtml?num=57827