LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2023 / Informations sur la sécurité -- DLA-3396-1 redis

Bulletin d'alerte Debian

DLA-3396-1 redis -- Mise à jour de sécurité pour LTS

Date du rapport :

21 avril 2023

Paquets concernés :

redis

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2023-28856.

Plus de précisions :

Il a été découvert qu’il existait une vulnérabilité potentielle de déni de service à distance dans Redis, une base de données populaire clé-valeur non SQL.

Des utilisateurs authentifiés pouvaient utiliser la commande HINCRBYFLOAT pour créer un champ de hachage non valable qui plantait le serveur Redis lors de l’accès.

• CVE-2023-28856

  Redis est une base de données en mémoire, au code source ouvert, qui persiste sur le disque. Des utilisateurs authentifiés pouvaient utiliser la commande HINCRBYFLOAT pour créer un champ de hachage non valable qui plantait Redis lors de l’accès dans les versions affectées. Ce problème est corrigé dans les versions 7.0.11, 6.2.12, et 6.0.19. Il est conseillé de mettre à niveau. Aucun contournement de ce problème n’est connu.

Pour Debian 10 Buster, ce problème a été corrigé dans la version 5:5.0.14-1+deb10u4.

Nous vous recommandons de mettre à jour vos paquets redis.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.