Redis veritabanında, geliştiriciler güncellenmiş bir yazılım sürümüyle dört güvenlik boşluğu kapattı. Bunlardan biri, CVSS değeri 10 ile maksimum risk değerlendirmesine ulaşır. Yönetici, kurulumlarını derhal yeni standa getirmelidir.
Sürüm 8.2.2 ile ilgili sürüm notlarında, Redis projesi dört zayıflıktan bahsediyor. Kayıtlı kullanıcılar çöp toplayıcıyı uygun şekilde hazırlanmış LUA komut dosyasıyla manipüle edebilir, bir kullanım durumuna neden olabilir ve daha sonra ağdan malikca kod oluşturabilir (CVE-2025-49844 / EUVD-2025-32326, CVSS 10Risk “eleştirmen“). Ayrıca, bu LUA komut dosyaları tüm taşmaya neden olabilir, bu da İnternet tarafından sunulan kodun yürütülmesine de izin verir (CVE 2025-46817 / EUVD-2025-32363, CVSS 7.0Risk “yüksek“).
Diğer boşluklar daha az ciddidir. Ön ödemeli komut dosyaları, sağlanan bellek alanlarına erişebilir veya sunucunun anormal tutuklanmasına neden olabilir ve daha sonra hizmetin reddine neden olabilir (CVE 2025-46819 / EUVD-2025-32327, CVSS 6.3Risk “orta“). Ayrıca, LUA komut dosyaları diğer LUA nesnelerini manipüle edebilir ve daha sonra kodlarını diğer kullanıcılar bağlamında gerçekleştirebilir ( 6Risk “orta“).
Hata ile düzeltilen redis sürümünü yükleyin
Wiz's BT güvenlik araştırmacıları da mevcut en ciddi boşlukların ayrıntılı bir analizini yaptılar. Zayıf yönlerden en az biri kritik kabul edildiğinden, yöneticiler REDIS isteklerini derhal mevcut durum 8.2.2 veya daha yakın bir süreye getirmelidir. Sağlanan açık yazılım, GitHub'daki Origin metninde geçerli bir sürümde mevcuttur.
Linux dağıtımları, kullanılan dağıtım yazılımının yönetimi güncellemeler sağlayabilmesi için güncellenmiş paketler sağlamalıdır. [Link auf https://access.redhat.com/security/cve/cve-2025-49844]Güncellenmiş paketin yokluğunda, RedHat şu anda sunucuya erişimin güvenilir makinelerle sınırlanmasını önermektedir. Örneğin, Berlin'deki PWN2own etkinliğinde BT güvenlik araştırmacıları REDIS'te güvenlik boşluklarını belirlemiş ve göstermişlerdir.
(DMK)
Bir yanıt yazın