Информация по безопасности / 2016 / Информация о безопасности -- DSA-3634-1 redis

Рекомендация Debian по безопасности

DSA-3634-1 redis -- обновление безопасности

Дата сообщения:

30.07.2016

Затронутые пакеты:

redis

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 832460.
В каталоге Mitre CVE: CVE-2013-7458.

Более подробная информация:

Было обнаружено, что redis, сохраняющая база данных типа ключ-значение, неправильно защищает файлы истории redis-cli: по умолчанию они создаются с правами на чтение для всех пользователей.

Пользователи и системные администраторы могут предусмотрительно изменить права доступа у существующих файлов ~/rediscli_history вместо того, чтобы ждать, чтобы это сделала обновлённая версия redis-cli при её следующем запуске.

В стабильном выпуске (jessie) эта проблема была исправлена в версии 2:2.8.17-1+deb8u5.

В тестируемом (stretch) и нестабильном (sid) выпусках эта проблема была исправлена в версии 2:3.2.1-4.

Рекомендуется обновить пакеты redis.