Bulletin d'alerte Debian

DLA-1161-1 redis -- Mise à jour de sécurité pour LTS

Date du rapport :
5 novembre 2017
Paquets concernés :
redis
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-1051.
Plus de précisions :

Il existait une attaque Cross Protocol Scripting dans la base de données clef/valeur Redis.

Les chaînes de commande « POST » et « Host: » (non autorisées dans le protocole Redis) n’étaient pas réjetées de suite lorsqu’un attaquant réalisait des requêtes HTTP sur le port TCP de Redis.

Pour Debian 7 Wheezy, ce problème a été corrigé dans la version 2:2.4.14-1+deb7u2.

de redis

Nous vous recommandons de mettre à jour vos paquets redis.