Kritiska ievainojamība Redis programmatūrā (CVE-2025-49844)
Atklāta kritiska ievainojamība (CVE-2025-49844) Redis (Remote Dictionary Server) programmatūrā, kas skar visas Redis instances. Ievainojamībai piešķirts maksimālais CVSS novērtējums - 10.0. Šī ievainojamība autentificētam lietotājam ļauj panākt attālinātu koda (RCE) izpildi uz Redis servera, izmantojot speciāli izveidotus Lua skriptus.
Jānorāda, ka Redis atbalsta Lua skriptēšanu pēc noklusējuma. Ievainojamība uzsaktāma par kritisku, jo veiksmīga uzbrukuma gadījumā ir iespējams pārņemt kontroli pār Redis serveri, piekļūt datiem vai tos mainīt, kā arī izmantot serveri tālākiem uzbrukumiem.
Šīs ievainojamības izmantošanai vispirms ir nepieciešama autentificēta piekļuve Redis instancei, tāpēc publiski eksponētām iekārtām ir vislielākais risks tik pakļautām uzbrukumiem, kas izmanto šo ievainojamību. Tāpat, ne visām instancēm autentifikācija ir iespējota, kas uzbrukuma iespējamību padara vēl lielāku.
Ietekmētās versijas | Labotās versijas |
Visas Redis Software versijas | 7.22.2-12 un augstāk 7.8.6-207 un augstāk 7.4.6-272 un augstāk 7.2.4-138 un augstāk vai 6.4.2-131 un augstāk |
Visas Redis OSS/CE/Stack versijas ar Lua skriptēšanu |
OSS/CE: Stack: |
Ieteikumi
1. Atjauniniet Redis versiju.
Pirmā un būtiskākā aizsardzības darbība ir atjaunināt Redis versiju, kur šī ievainojamība ir novērsta.
2. Ierobežojiet Lua skriptu izpildi.
Ja atjaunināšana īslaicīgi nav iespējama, ieteicams aizliegt lietotājiem izpildīt Lua skriptus. To var paveikt, izmantojot ACL (Access Control List) noteikumus, lai bloķētu komandas EVAL un EVALSHA. Šis solis novērš ievainojamības izmantošanu, kamēr netiek uzstādīts atjauninājums.
3. Ierobežojiet piekļuvi Redis instancēm.
Pārliecinieties, ka Redis nav publiski pieejams internetā un piekļuvi tam var iegūt tikai autorizēti lietotāji vai iekšējās sistēmas.
4. Nodrošiniet autentifikāciju
Ja Redis instance pieejama bez paroles vai autentifikācijas, nekavējoties jāiespējo autentifikācijas mehānisms.
Papildu informācija par ievainojamību pieejama šeit: https://redis.io/blog/security-advisory-cve-2025-49844/