Redis veröffentlicht kritisches Sicherheitsupdate: Vier Schwachstellen durch LUA-Skripte geschlossen

Das Redis-Projekt hat mit der Veröffentlichung von Version 8.2.2 vier Sicherheitslücken geschlossen, die durch speziell konfigurierte LUA-Skripte ausgenutzt werden konnten. Eine dieser Schwachstellen erreicht mit einem CVSS-Wert von 10 die maximale Risikobewertung und gilt somit als kritisch. Betroffen sind insbesondere Systeme, in denen LUA-Skripte zur Anwendung kommen, da diese als Angriffsvektor dienen können. Die Sicherheitslücken ermöglichen es Angreifern, den Garbage Collector zu manipulieren, um sogenannte Use-after-Free-Situationen hervorzurufen und so Schadcode aus dem Internet zur Ausführung zu bringen. Ein weiterer kritischer Punkt ist die Möglichkeit, durch präparierte LUA-Skripte Integer-Überläufe zu erzwingen, wodurch ebenfalls der Zugriff auf externen Code ermöglicht wird. IT-Verantwortliche sollten aufgrund der Schwere dieser Schwachstelle umgehend ihre Redis-Installationen auf Version 8.2.2 oder neuer aktualisieren, um das Risiko einer Ausnutzung zu minimieren. Die Aktualisierung ist sowohl über direkte Downloads des Quellcodes von GitHub als auch über die Softwareverwaltung der jeweiligen Linux-Distribution vorgesehen. Die Erkennung dieser Sicherheitslücken erfolgte im Rahmen der Pwn2Own-Veranstaltung in Berlin durch IT-Sicherheitsforscher von Wiz, die eine detaillierte Analyse der kritischsten Schwachstellen bereitstellen konnten. Aufgrund der potenziellen Gefährlichkeit, insbesondere durch die Möglichkeit eines vollständigen Kompromisses des Systems, mahnen Experten dringend zu einer schnellen Aktualisierung aller betroffenen Systeme. Bis zur Installation der Sicherheitsupdates wird empfohlen, den Zugriff auf Redis-Server vertrauenswürdigen Systemen einzuschränken, um das Risiko einer Ausbeutung während der Übergangszeit zu minimieren.

Schlagwörter: GitHub + Berlin + Wiz

Wie bewerten Sie den Schreibstil des Artikels?