Bulletin d'alerte Debian

DLA-2810-1 redis -- Mise à jour de sécurité pour LTS

Date du rapport :
5 novembre 2021
Paquets concernés :
redis
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2021-41099, CVE-2021-32762, CVE-2021-32687, CVE-2021-32675, CVE-2021-32672, CVE-2021-32626.
Plus de précisions :

Il y avait un certain nombre de problèmes dans redis, une base de données clé-valeur populaire :

  • CVE-2021-41099

    Dépassement d'entier sur le tampon de tas lors de la gestion de certaines commandes de chaîne et charges utiles de réseau, quand proto-max-bulk-len est configuré manuellement à une valeur très grande différente de celle par défaut.

  • CVE-2021-32762:

    Problème de dépassement d'entier sur le tampon de tas dans redis-cli et redis-sentinel lors de l'analyse de grandes réponses « multi-bulk » sur certaines plateformes plus anciennes et moins répandues.

  • CVE-2021-32687

    Dépassement d'entier sur le tampon de tas avec les IntSet, quand set-max-intset-entries est configuré manuellement à une valeur très grande différente de celle par défaut.

  • CVE-2021-32675

    Déni de service lors du traitement de la charge utile de requêtes RESP avec un grand nombre d'éléments sur de nombreuses connexions.

  • CVE-2021-32672

    Problème de lecture aléatoire de tas avec le débogueur Lua.

  • CVE-2021-32626

    Des scripts Lua contrefaits pour l'occasion peuvent avoir pour conséquence un dépassement de tampon de tas.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 3:3.2.6-3+deb9u8.

Nous vous recommandons de mettre à jour vos paquets redis.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.