安全公告/【CVE-2022-24736】

基本信息

漏洞描述

Redis 是一个内存数据库，可持久保存在磁盘上。在 6.2.7 和 7.0.0 版本之前，攻击者尝试加载特制的 Lua 脚本可能会导致 NULL 指针取消引用，从而导致 redis-server 进程崩溃。该问题已在 Redis 7.0.0 和 6.2.7 版本中修复。如果不使用 Lua 脚本，无需修补 redis-server 可执行文件即可缓解此问题的另一种解决方法是使用 ACL 规则阻止对“SCRIPT LOAD”和“EVAL”命令的访问。

漏洞判定

执行命令yum info PackageName获取软件包版本号，版本小于修复版本，则受此漏洞影响，版本大于等于修复版本，则此漏洞已修复

修复方式

软件包升级
dnf update redis6

参考

https://github.com/redis/redis/pull/10651
https://github.com/redis/redis/security/advisories/GHSA-3qpw-7686-5984
https://github.com/redis/redis/releases/tag/7.0.0
https://github.com/redis/redis/releases/tag/6.2.7
https://security.netapp.com/advisory/ntap-20220715-0003/
https://www.oracle.com/security-alerts/cpujul2022.html
https://security.gentoo.org/glsa/202209-17
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/VPYKSG7LKUJGVM2P72EHXKVRVRWHLORX/
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/WSTPUCAPBRHIFPSCOURR4OYX4E2OISAF/
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/J4ZK3675DGHVVDOFLJN7WX6YYH27GPMK/