Säkerhetsbulletin från Debian

DSA-3634-1 redis -- säkerhetsuppdatering

Rapporterat den:
2016-07-30
Berörda paket:
redis
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 832460.
I Mitres CVE-förteckning: CVE-2013-7458.
Ytterligare information:

Man har upptäckt att redis, en beständig nyckel-värde-databas, inte skyddar redis-cli-historyfiler ordentligt: Dom skapades som standard med värld-läsbara rättigheter.

Användare och systemadministratörer kan vilja att proaktivt ändra rättigheterna på existerande ~/rediscli_history-filer, iställer för att vänta på en uppdaterad redis-cli som rättar problemet när den körs.

För den stabila utgåvan (Jessie) har detta problem rättats i version 2:2.8.17-1+deb8u5.

För uttestningsutgåvan (Stretch) och den instabila utgåvan (Sid), har detta problem rättats i version 2:3.2.1-4.

Vi rekommenderar att ni uppgraderar era redis-paket.