Haavoittuvuus21/2025CVSS 10CVE-2025-49844 (Ulkoinen linkki)
Redis-ohjelmiston vakava haavoittuvuus altistaa järjestelmän tietomurrolle ja mielivaltaisen koodin suorittamiselle. Haavoittuvuus koskee kaikkia Redis-ohjelmiston versioita. Ohjelmisto on laajasti käytetty ja sen vakiokonfiguraatio on haavoittuva. Suosittelemme haavoittuvien instanssien paikantamista ja päivittämistä välittömästi.
Haavoittuvuuden kohde
Redis 8.2.1 ja aiemmat.
Haavoittuvuus vaatii Redis-ohjelmiston version, jossa Lua-skriptien tuki on olemassa ja päällä. Tämä on oletusasetus.
Mistä on kysymys?
Redis on avoimen lähdekoodin muistitietokanta, jota käytetään laajasti mm. pilviympäristöissä.
Versiossa 8.2.1 sekä sitä aiemmissa versioissa haavoittuvuus johtaa potentiaalisesti mielivaltaisen koodin suorittamisen etänä, joka aiheutuu tietynlaisella Lua-skriptillä aikaansaadusta käyttövapautusvirheestä (use-after-free). Tämä tarkoittaa, että haavoittuvuuden avulla hyökkääjän on mahdollista saada Redis-ohjelmistoa suorittava järjestelmä täysin hallintaansa verkon yli.
Mitä voin tehdä?
Päivitä järjestelmät korjattuun versioon viipymättä. Haavoittuvuus on yleisessä tiedossa ja potentiaalisen hyväksikäytön aikajana mitataan tunneissa, ei päivissä. On mahdollista, että hyväksikäyttö on jo ehtinyt tapahtua, minkä vuoksi suosittelemme tarkastamaan haavoittuvuudelle alttiina olleen ympäristön huolellisesti murron varalta.
Haavoittuvuus on korjattu versioissa 6.2.20, 7.2.11, 7.4.6, 8.0.4, 8.2.2.
Redis-instanssien ylläpidossa on lisäksi syytä huomioida, että valmistajan mukaan Redis-palvelinta ei pitäisi asettaa saataville suoraan internetistä:
> Redis is designed to be accessed by trusted clients inside trusted environments. This means that usually it is not a good idea to expose the Redis instance directly to the internet or, in general, to an environment where untrusted clients can directly access the Redis TCP port or UNIX socket.
> (Redis security) (Ulkoinen linkki)