Redis Labs Redis 安全漏洞 (CVE-2023-45145)

漏洞类型 将资源暴露给错误范围 发现时间 2023-10-21 漏洞等级 低危
MPS编号 MPS-uq0s-fvxa CVE编号 CVE-2023-45145 漏洞影响广度 广

漏洞危害

OSCS 描述
Redis是一款将数据存储在磁盘上的内存数据库。
在受影响版本中,Redis在启动时会在Unix socket上监听连接,然后根据用户提供的配置来调整权限。如果系统上使用了过于宽松的umask(2),会存在一个潜在的竞争条件,使得在短时间内另一个进程能够建立未经授权的连接。攻击者有可能在竞争条件下建立未经授权的连接,可能导致未经授权的访问和数据泄露。
参考链接:https://www.oscs1024.com/hd/MPS-uq0s-fvxa

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
redis [2.6.0-rc1, 6.2.14) 升级 将组件 redis 升级至 6.2.14 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-uq0s-fvxa

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-uq0s-fvxa

https://nvd.nist.gov/vuln/detail/CVE-2023-45145

https://github.com/redis/redis/commit/03345ddc7faf7af079485f2cbe5d17a1611cbce1

https://github.com/redis/redis/security/advisories/GHSA-ghmp-889m-7cvx

(0)
上一篇 2023年10月20日 下午12:00
下一篇 2023年10月24日 下午2:00

相关推荐

  • Apache InLong jdbc url敏感参数校验绕过漏洞 (CVE-2023-43668)

    漏洞类型 控制流实现总是不正确 发现时间 2023-10-16 漏洞等级 高危 MPS编号 MPS-v51a-l298 CVE编号 CVE-2023-43668 漏洞影响广度 小 漏洞危害 OSCS 描述 Apache InLong 是开源的高性能数据集成框架,方便业务构建基于流式的数据分析、建模和应用。 由于在mysql jdbc 8.0.11和8.0.1…

    2023年10月17日
    0
  • Apache OFBiz Solr 存在未授权访问漏洞 (CVE-2023-46819)

    漏洞类型 关键功能的认证机制缺失 发现时间 2023-11-08 漏洞等级 中危 MPS编号 MPS-a5cl-euw1 CVE编号 CVE-2023-46819 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache OFBiz 是一个开源的企业资源计划系统。Solr是一个搜索平台,它提供了许多功能,包括全文搜索、动态聚类、数据库集成等。(默认未安装该…

    2023年11月9日
    0
  • MLflow <2.9.2 路径遍历漏洞 (CVE-2023-6831)

    漏洞类型 路径遍历 发现时间 2023-12-15 漏洞等级 严重 MPS编号 MPS-m397-puva CVE编号 CVE-2023-6831 漏洞影响广度 一般 漏洞危害 OSCS 描述 MLflow 是用于机器学习全生命周期管理的开源工具。 MLflow 2.9.2 之前版本中存在路径遍历漏洞。由于在mlflow/uri.py文件中的validate…

    2023年12月18日
    0
  • Amazon Redshift JDBC Driver<2.1.0.28 SQL注入漏洞 (CVE-2024-32888)

    漏洞类型 SQL注入 发现时间 2024-05-15 漏洞等级 严重 MPS编号 MPS-yg3n-dx5h CVE编号 CVE-2024-32888 漏洞影响广度 漏洞危害 OSCS 描述 Amazon Redshift 的 JDBC 驱动程序是一个 Type 4 JDBC 驱动程序,通过 Java 平台企业版提供的标准 JDBC 应用程序接口(API)实…

    漏洞 2024年5月16日
    0
  • Apache Airflow FTP Provider<3.7.0 证书验证不当风险 (CVE-2024-29733)

    漏洞类型 证书验证不恰当 发现时间 2024-04-22 漏洞等级 低危 MPS编号 MPS-qvto-mpga CVE编号 CVE-2024-29733 漏洞影响广度 小 漏洞危害 OSCS 描述 Apache Airflow 是一个开源的工作流自动化平台,提供用户定义、调度和监视工作流任务的执行功能,FTP Provider 组件用于Airflow与FT…

    漏洞 2024年4月22日
    0