Alert!

Kritische Schadcode-Lücke in In-Memory-Datenbank Redis geschlossen

Das Zusammenspiel von Debian-Systemen und Redis kann zu ernsten Sicherheitsproblemen führen. Dagegen abgesicherte Versionen schaffen Abhilfe.

Lesezeit: 1 Min.

In Pocket speichern

3

(Bild: Shutterstock)

29.03.2022 10:58 Uhr

Security

Von

Dennis Schirrmacher

Wer unter Debian oder Ubuntu die In-Memory-Datenbank Redis, beispielsweise für Caching, einsetzt, sollte die Systeme aus Sicherheitsgründen auf den aktuellen Stand bringen. Im schlimmsten Fall könnten Angreifer Schadcode auf Redis-Servern ausführen.

Die Sicherheitslücke (CVE-2022-0543) ist als „kritisch“ mit Höchstwertung (CVSS Score 10/10) eingestuft. Dem Entdecker der Lücke zufolge betrifft die Schwachstelle nicht direkt Redis, sondern das Zusammenspiel von Debian/Ubuntu, der Skriptsprache Lua und der In-Memory-Datenbank.

Betriebssysteme jetzt aktualisieren!

Dabei kommt es bei der Bereinigung von Variablen zu Problemen. Setzen Angreifer dort an, könnten sie aus der Lua-Sandbox ausbrechen und Schadcode im Host-System ausführen, warnt der Sicherheitsforscher. Ihm zufolge könnten davon noch weitere Debian-Derivate bedroht sein.

Dagegen abgesicherte Debian- und Ubuntu-Versionen stehen seit Februar/März 2022 zum Downloads bereit. Da bereits Exploit-Code verfügbar ist, warnt die US-amerikanische Cybersecurity & Infrastructure Security Agency (CISA) jetzt vor möglichen Attacken.

(des)

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

Kritische Schadcode-Lücke in In-Memory-Datenbank Redis geschlossen

Betriebssysteme jetzt aktualisieren!

3 Monate für je 7,95 €.Ein Abo. Alle Inhalte. 3 Monate für nur je 7,95 €.

Das digitale Abo für IT und Technik.