Wer unter Debian oder Ubuntu die In-Memory-Datenbank Redis, beispielsweise für Caching, einsetzt, sollte die Systeme aus Sicherheitsgründen auf den aktuellen Stand bringen. Im schlimmsten Fall könnten Angreifer Schadcode auf Redis-Servern ausführen.
Die Sicherheitslücke (CVE-2022-0543) ist als „kritisch“ mit Höchstwertung (CVSS Score 10/10) eingestuft. Dem Entdecker der Lücke zufolge betrifft die Schwachstelle nicht direkt Redis, sondern das Zusammenspiel von Debian/Ubuntu, der Skriptsprache Lua und der In-Memory-Datenbank.
Betriebssysteme jetzt aktualisieren!
Dabei kommt es bei der Bereinigung von Variablen zu Problemen. Setzen Angreifer dort an, könnten sie aus der Lua-Sandbox ausbrechen und Schadcode im Host-System ausführen, warnt der Sicherheitsforscher. Ihm zufolge könnten davon noch weitere Debian-Derivate bedroht sein.
Dagegen abgesicherte Debian– und Ubuntu-Versionen stehen seit Februar/März 2022 zum Downloads bereit. Da bereits Exploit-Code verfügbar ist, warnt die US-amerikanische Cybersecurity & Infrastructure Security Agency (CISA) jetzt vor möglichen Attacken.
(des)
