Kritische Schadcode-Lücke in In-Memory-Datenbank Redis geschlossen

Kritische Schadcode-Lücke in In-Memory-Datenbank Redis geschlossen

Wer unter Debian oder Ubuntu die In-Memory-Datenbank Redis, beispielsweise für Caching, einsetzt, sollte die Systeme aus Sicherheitsgründen auf den aktuellen Stand bringen. Im schlimmsten Fall könnten Angreifer Schadcode auf Redis-Servern ausführen.

Die Sicherheitslücke (CVE-2022-0543) ist als „kritisch“ mit Höchstwertung (CVSS Score 10/10) eingestuft. Dem Entdecker der Lücke zufolge betrifft die Schwachstelle nicht direkt Redis, sondern das Zusammenspiel von Debian/Ubuntu, der Skriptsprache Lua und der In-Memory-Datenbank.

Dabei kommt es bei der Bereinigung von Variablen zu Problemen. Setzen Angreifer dort an, könnten sie aus der Lua-Sandbox ausbrechen und Schadcode im Host-System ausführen, warnt der Sicherheitsforscher. Ihm zufolge könnten davon noch weitere Debian-Derivate bedroht sein.

Dagegen abgesicherte Debian– und Ubuntu-Versionen stehen seit Februar/März 2022 zum Downloads bereit. Da bereits Exploit-Code verfügbar ist, warnt die US-amerikanische Cybersecurity & Infrastructure Security Agency (CISA) jetzt vor möglichen Attacken.


(des)

Zur Startseite

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.