Kiberbiztonság ma: Komoly Redis sebezhetőség

Kiberbiztonság ma: Komoly Redis sebezhetőség

MediaVideo
Yanac

A közelmúltban kritikus súlyosságú sebezhetőséget („RediShell”, CVE-2025-49844) azonosítottak a Redis memóriában futó adatbázis-rendszerben, amely lehetővé teheti, hogy egy támadó teljes hozzáférést szerezzen a szerver alá tartozó rendszeren. A hiba egy use-after-free típusú memória‐korrupciós probléma, amelyet Lua szkriptek segítségével lehet kihasználni: a támadó el tudja hagyni a Lua sandboxot, és tetszőleges natív kódot futtathat a Redis gazdarendszerén. Fontos megjegyzés: a kihasználáshoz a támadónak először hitelesített hozzáférést kell szereznie a Redis-példányhoz.

Ugyanakkor sok Redis telepítés nincs megfelelően védve. Az elemzések szerint világszerte kb. 330 000 Redis példány érhető el az internet felől, és ezek közül akár 60 000 nincs hitelesítéssel védve. Az alap Redis konténerek alapértelmezés szerint jelszó nélküli hozzáférést engednek, ami tovább növeli a veszélyt.

A sérülékenység eredeti kódja 2012-ben került be a Redis forráskódjába, így a hiba több éve jelen van. A Redis közösségi és Enterprise kiadásai már kiadták a javított verziókat. Például az OSS/CE kiadások esetében 8.2.2 és újabb, 8.0.4 és újabb, 7.4.6 és újabb, továbbá 7.2.11 és újabb verziók már tartalmazzák a javítást. Az Enterprise (Redis Software) verzióknál is kiadták a szükséges frissítéseket.

Addig is, amíg mindenki frissít, a szerverek védelmére az alábbi intézkedések ajánlottak: Lua-szkriptek letiltása vagy korlátozása ACL-ekkel (például EVAL és EVALSHA parancsok visszavonása), hitelesítés engedélyezése, Redis futtatása nem root felhasználóként, naplózás és monitorozás bekapcsolása, hálózati hozzáférés korlátozása csak megbízható hálózatok felé. Ne felejtsük, ez a hiba azért különösen kritikus, mert a CVSS besorolása 10.0, azaz maximális súlyosságú – tehát nem „csak egy érdekes bug”, hanem komoly biztonsági fenyegetés, bár aktívan egyelőre nem használják még ki.

Források:
CVE-2025-49844 Detail: https://nvd.nist.gov/vuln/detail/CVE-2025-49844
Redis patches critical “RediShell” RCE vulnerability, update ASAP! (CVE-2025-49844): https://www.helpnetsecurity.com/2025/10/07/redis-patches-critical-redishell-rce-vulnerability-update-asap-cve-2025-49844/
Known Exploited Vulnerabilities Catalog: https://www.cisa.gov/known-exploited-vulnerabilities-catalogThe Prof and The GeekRead More